Detección de Bullsh#t (BS) del proveedor de pruebas Mobile AppSec

Recientemente, el Departamento de Defensa de los Estados Unidos (DoD) publicó un guía llamado «Detección de BS ágil». Dejando a un lado el título alegre de una agencia gubernamental seria, el documento trajo algunos conceptos erróneos comunes sobre el desarrollo ágil y las herramientas. En esta era de moda de marketing, ladradores de carnaval y sobrecarga de información, es difícil desglosar lo que es realmente importante.

Si bien el desarrollo ágil es sin duda lo más importante para muchos equipos de desarrollo, la seguridad móvil no es tan madura ni se habla de ella. Sin embargo, todavía vemos una parte considerable de BS de seguridad de aplicaciones móviles. Muchas personas han estado probando la seguridad de las redes y las aplicaciones web durante años, pero las pruebas de seguridad de las aplicaciones móviles aún están en pañales. Entonces, si la imitación es la forma más sincera de adulación, aquí viene mi parte de las pruebas de aplicaciones móviles.

Fundamentos clave de la seguridad de las aplicaciones móviles

Durante la última década, NowSecure ha creado un impresionante conjunto de mejores prácticas de seguridad móvil. También nos basamos en estándares y pautas de la industria, como el Proyecto de seguridad de aplicaciones web abiertas (OWASP). OWASP ha sido un recurso destacado para la seguridad de aplicaciones web y recientemente mejoró su juego de aplicaciones móviles. Algunos de los arrendatarios clave que utilizamos para satisfacer las necesidades de aplicaciones móviles de nuestros clientes son:

Deteccion de Bullsht BS del proveedor de pruebas Mobile AppSec

Estas banderas de advertencia clave pueden indicar que una herramienta no realiza una prueba adecuada de appsec móvil:

  • La herramienta no puede analizar paquetes binarios. Los archivos binarios contienen componentes que pueden hacer que las aplicaciones sean vulnerables y que no se pueden encontrar mediante la revisión del código fuente.
  • La herramienta utiliza emuladores para probar aplicaciones móviles. Los emuladores no simulan completamente lo que pueden hacer un dispositivo físico y una red, lo que deja brechas explotables en la cobertura.
  • La herramienta solo realiza pruebas estáticas. No ejercitar el binario de la aplicación dinámicamente en un dispositivo físico deja brechas increíbles en las pruebas, particularmente para los datos en reposo y los datos en movimiento.
  • La herramienta no tiene paridad de funciones entre iOS y Android. iOS puede ser difícil de probar, pero también es susceptible a vulnerabilidades de alto riesgo y debe probarse con el mismo rigor que las aplicaciones de Android.
  • La herramienta depende de las personas para realizar las pruebas. En el mundo de DevOps, se trata de automatización y no hay forma de agregar suficientes analistas de seguridad capacitados para seguir el ritmo de los lanzamientos.

Hay tres componentes cruciales de un programa de prueba de appsec móvil a considerar. Aquí se describen a continuación junto con algunos ejemplos.

1682765001 873 Deteccion de Bullsht BS del proveedor de pruebas Mobile AppSec

Preguntas para hacer aplicaciones web/escáneres estáticos:

  • ¿Cómo se prueban los ataques Man-in-the-Middle?
    • Respuesta incorrecta: examen de código. Las comunicaciones de red solo se pueden probar con la aplicación a través de DAST en un dispositivo real.
  • ¿Cómo se prueban los datos en reposo?
    • Respuesta incorrecta: solo estática. Para probar el almacenamiento de datos, debe ejecutar la aplicación y ver todas las diferentes formas y métodos que utiliza para almacenar datos en el dispositivo.
  • ¿Cómo se desarrolla la nueva funcionalidad móvil?
    • La mayoría de los proveedores de pruebas de aplicaciones web no tienen equipos dedicados con experiencia móvil.
  • ¿Qué tan rápido puedes generar resultados?
    • Respuesta incorrecta: diario, semanal, quincenal. DevSecOps requiere tiempos de prueba en minutos, no en días.
  • Muéstrame cómo cubres el OWASP MASVS.
    • Respuesta incorrecta: la estática lo cubre todo. En realidad, solo partes de tres de los 10 pueden identificarse mediante análisis estático.
  • ¿Qué dispositivos utiliza para realizar pruebas dinámicas?
    • Respuesta incorrecta: ninguna. Muchos proveedores ejecutan escaneos simples en puntos finales de API codificados, pero no prueban la aplicación real.
  • ¿Qué plataformas de código admite? ¿Admite XAMARIN, herramientas multiplataforma y de código bajo?
    • Respuesta incorrecta: solo nativo. La mayoría de las herramientas no pueden probar plataformas híbridas. Haga un seguimiento para preguntar cuándo ofrecerá soporte.
  • ¿Cómo se comparan tus pruebas de iOS con las de Android?
    • Respuesta incorrecta: no necesitamos probar tanto en iOS. La prueba en dispositivos iOS es mucho más difícil, ya que requiere jailbreak o inyección de código donde la dinámica en el dispositivo es la única opción, pero las vulnerabilidades son las mismas.

Preguntas para los probadores «dinámicos»:

  • ¿En qué dispositivos está probando y dónde están esas plataformas de dispositivos?
    • Respuesta incorrecta: emuladores. Idealmente, pruebe sus aplicaciones móviles en dispositivos locales o en una granja web.
  • ¿Cómo se comparan tus pruebas de iOS con las de Android?
    • Respuesta incorrecta: Son lo mismo. Las pruebas de iOS son mucho más difíciles, no tendrán paridad de características.
  • ¿Qué tan rápido devuelve los resultados de las pruebas en la canalización de DevOps?
    • Respuesta incorrecta: cualquier cosa que dure más de 30 minutos. Es importante asegurarse de que los resultados también se puedan consumir a través de la API; de lo contrario, no podrá integrarse realmente.
  • ¿Ofrecen pruebas encarceladas en iOS?
    • Respuesta incorrecta: No. Jailbreaks nunca son lo suficientemente consistentes como para poner en juego a su organización.

La siguiente imagen es un útil árbol de decisiones que lo guía a través de la formulación de las preguntas correctas para llegar al fondo de lo que realmente hacen los productos de un proveedor.

1682765002 583 Deteccion de Bullsht BS del proveedor de pruebas Mobile AppSec

Espero que haya encontrado este blog valioso en términos de eliminar las capas de afirmaciones de los proveedores frente a la realidad. A todos nos gustaría vivir en un mundo sin BS, pero está ahí fuera y debemos reconocerlo cuando sucede. Más allá de las preguntas anteriores, tenemos una lista de verificación que también puede resultarle valiosa.

Deja un comentario