La tríada de seguridad de la información en una aplicación móvil | de Josué Martins | Seguridad móvil

La triada de seguridad de la informacion en una aplicacion

Confidencialidad, integridad y disponibilidad: por ejemplo

En mi artículo anterior en enero. Escribí sobre “ La tríada de seguridad de la información en redes móviles por ejemplo”, pero esta vez me centraré en la seguridad de las aplicaciones móviles para dar una perspectiva de seguridad de extremo a extremo.

En la seguridad de aplicaciones móviles, el concepto de TRIAD de seguridad de la información es importante porque las aplicaciones móviles incorporan y transportan información confidencial sobre sus usuarios. Por lo tanto, al crear e implementar aplicaciones móviles, es esencial tener en cuenta estos conceptos a continuación para garantizar que la información del suscriptor esté protegida.

La TRÍADA de la Seguridad de la Información consta de los siguientes elementos:

Confidencialidad

Integridad

Disponibilidad

Según NIST, la confidencialidad es

Preservar las restricciones autorizadas sobre el acceso y la divulgación de la información, incluidos los medios para proteger la privacidad personal y la información de propiedad.

En ausencia del cifrado mediante el uso de PKI como claves públicas y privadas para cifrar y descifrar datos en movimiento, un mal actor puede interceptar el tráfico y modificar o extraer información confidencial.

Caso 1

— Fuga de información sensible en texto claro.

Tema

En este ejercicio, las credenciales de inicio de sesión del usuario final y el resto del tráfico se envían a través de un canal no cifrado. Todo el tráfico del usuario final debe enviarse a través de un canal encriptado y debe codificarse para evitar abusos.

Ejemplo:

La aplicación iOS permite el tráfico HTTP, por lo tanto, todo el tráfico no está cifrado. Se interceptaron y extrajeron múltiples contenidos de la sesión del usuario.

La triada de seguridad de la informacion en una aplicacion
Código de la aplicación iOS para aceptar tráfico en texto sin cifrar.
1658915124 941 La triada de seguridad de la informacion en una aplicacion
Descargué un álbum completo sin una cuenta y a través del terminal desde la aplicación de transmisión

Según NIST, la integridad es

la protección contra la modificación o destrucción inapropiada de la información, e incluye garantizar el no repudio y la autenticidad de la información.

Caso 2

— Falta de validación de Firma y autenticidad de la aplicación envía tráfico al servidor.

Tema

En este ejercicio, el mal actor pudo aplicar ingeniería inversa a la aplicación, firmarla con su propia firma y seguir comunicándose con el servidor backend.

El servidor no pudo restringir la comunicación solo a una aplicación legítima.

Ejemplo:

Se invirtió la ingeniería de la aplicación de Android y se le agregó un nuevo código, pero el servidor backend aún permitía que esta aplicación intercambiara tráfico confidencial con ella.

1658915125 387 La triada de seguridad de la informacion en una aplicacion
Se agregaron múltiples permisos a la aplicación modificada

Según NIST, la disponibilidad es

Asegurar el acceso y uso oportuno y confiable de la información.

Caso 3

— Sin límite de velocidad y Tiempo de espera para OTP.

Tema

En este ejercicio, no hubo límite de velocidad o tiempo de espera en la cantidad de OTP que los usuarios pueden solicitar de los servidores de la aplicación y no se aplica ningún tiempo de espera después de varias solicitudes.

Si la aplicación no tiene la protección anterior e incluso la solución de denegación de servicio distribuida, esto podría explotarse para abrumar al servidor y causar tiempo de inactividad, lo que provocará una pérdida de ingresos y un impacto negativo en la reputación del proveedor.

Ejemplo:

Se solicitó 3 OTP y se proporcionó en 60 segundos, de 17:39 a 17:40, por lo tanto, 114216, 759089 y 992431.

1658915125 444 La triada de seguridad de la informacion en una aplicacion
Se solicitaron tres OTP en menos de 60 segundos/1 minuto

La confidencialidad, la integridad y la disponibilidad juegan un papel fundamental en la seguridad de la información. Es muy importante proteger a los usuarios finales del ciberdelito aplicando múltiples capas de seguridad en cada etapa del desarrollo del software.

PD: esta información se comparte solo con fines educativos, por lo tanto, no la use para cometer un delito.

Deja un comentario