El estado de la seguridad de las aplicaciones móviles es AF débil; una gran mayoría de las aplicaciones de Android e iOS carecen incluso de las protecciones de seguridad más básicas y pueden verse comprometidas con muy poco tiempo y esfuerzo. En mi empresa, nuestro equipo de seguridad de sombrero blanco prueba de forma rutinaria una amplia variedad de aplicaciones de Android e iOS en todas las industrias y segmentos. La gran mayoría de ellos se pueden descifrar en 15 minutos o menos utilizando herramientas gratuitas y métodos de prueba de pluma de ‘caja blanca’. En general, esto es lo que encontramos para la mayoría de las aplicaciones móviles:
1. Falta de protección contra manipulaciones de protección de aplicaciones
La primera capa de defensa en cualquier estrategia de seguridad de aplicaciones móviles debe consistir en fortalecer o «proteger» la aplicación mediante la implementación de medidas básicas de autoprotección de aplicaciones en tiempo de ejecución (RASP) como anti-manipulación, anti-depuración, anti-reversión y jailbreak/ prevención de enraizamiento. Por ejemplo, muchas aplicaciones con las que nos encontramos no implementan la prevención de manipulaciones o utilizan una biblioteca de código abierto de terceros implementada en un código en gran parte no ofuscado. Ese tipo de solución se pasa por alto fácilmente.
2. Falta de ofuscación
La ofuscación del código dificulta que los atacantes entiendan el código fuente y los flujos de control de una aplicación. Sin ofuscación, los archivos binarios de aplicaciones móviles (.apks y .ipas) se pueden desensamblar y/o descompilar muy fácilmente utilizando una amplia variedad de herramientas gratuitas. Y al usar herramientas de instrumentación dinámica como Frida, los atacantes pueden acceder a las aplicaciones e inyectar código de forma dinámica.
3. Cifrado débil o insuficiente
La mayoría de las aplicaciones no cifran los datos almacenados en la aplicación, en cadenas, preferencias o carpetas de recursos, lo que deja a salvo los datos confidenciales de los usuarios móviles.
Hay una mejor manera de proteger las aplicaciones móviles
Cerrar brechas de seguridad tan grandes requiere una defensa de aplicaciones de múltiples capas compuesta por funciones complementarias y de refuerzo automático que protegen las aplicaciones contra la manipulación, la inversión, el enraizamiento/el jailbreak, el fraude móvil y también que encriptan todos los datos confidenciales en todos los estados (en reposo, en tránsito). y en uso).
En pocas palabras, la única forma de hacerlo es automatizar la seguridad de las aplicaciones móviles. Y solo entonces puedes DE VERDAD hacer de la seguridad una parte integral del ciclo de vida de la aplicación. Eso es lo que es el verdadero DevSecOps. Y hasta que haga eso, el «Sec» en DevSecOps es solo una quimera en una diapositiva de marketing. Así es, lo dije.
Puedes lea el artículo completo sobre Dark Reading.
Si desea VER cómo proteger cualquier aplicación de iOS o Android en unos minutos, sin código o codificación, escríbame a [email protected] y se lo mostraré personalmente.
Relacionado:
La mayoría de las defensas DDoS de las empresas estadounidenses violadas
Qué significa realmente la seguridad «Shift Left» para los proveedores de SDK | por alanb
¿Qué es un SDK móvil de todos modos?. Esta es una serie de blogs de varias partes sobre… | por alanb
