Lista de comprobación de pruebas de seguridad de aplicaciones móviles para crear su programa

Si bien las pruebas de seguridad de aplicaciones web son una práctica establecida, las pruebas de seguridad de aplicaciones móviles presentan desafíos más complejos para los analistas y desarrolladores de seguridad. Reconociendo las diferencias sustanciales en los riesgos y vulnerabilidades entre las aplicaciones web y móviles, OWASP elaboró ​​un OWASP MASVS por separado. Sin embargo, nuestro análisis NowSecure de aplicaciones de terceros en la tienda Apple® App Store® y Google Play™ muestra que alrededor del 85 % de las aplicaciones móviles aún infringen una o más de las 10 mejores aplicaciones móviles de OWASP.

Para ayudar a los analistas y desarrolladores de seguridad a elaborar una lista más efectiva de requisitos de pruebas móviles, hemos creado una Lista de comprobación de pruebas de seguridad de aplicaciones móviles con tres preguntas clave que puede descargar aquí.

1. ¿Qué tipos de pruebas necesito?

En realidad, las pruebas estáticas solo analizan el código fuente y pasan por alto el 70-80 % de los problemas reales del mundo real que se encuentran en las aplicaciones reales. Por lo tanto, los programas de prueba de appsec móviles efectivos y eficientes requieren herramientas que también proporcionen pruebas dinámicas y de comportamiento para garantizar una cobertura integral con casi cero falsos positivos.

2. ¿Qué cobertura de prueba necesito?

Busque una cobertura completa en el dispositivo y en el aire, no solo el código en sí.

  • Datos en reposo: prueba de datos confidenciales, como credenciales de cuenta, información de identificación personal (PII), direcciones de correo electrónico y más almacenados de forma insegura en bases de datos SQLite, archivos de registro, archivos plist, almacenes de datos XML o archivos de manifiesto, almacenes de datos binarios, almacenes de cookies, y/o tarjetas SD.
  • Datos en movimiento: prueba de datos confidenciales, como credenciales de cuenta, PII, direcciones de correo electrónico y más inseguros transmitidos debido a problemas con el certificado SSL/TLS, protocolo de enlace deficiente o transferencia HTTP de datos en texto no cifrado.
  • Calidad del código: prueba de problemas de seguridad del código, como desbordamientos de búfer, vulnerabilidades de cadenas de formato, inyección de SQL, ejecución de código arbitrario y otras vulnerabilidades resultantes del uso de la API incorrecta, el uso de una API de forma insegura o el uso de construcciones de lenguaje inseguras.

3. ¿Qué requisitos de prueba necesito?

Para ser más efectivas, las herramientas de prueba deben usar enfoques estándar de la industria e integrarse en sus herramientas y flujos de trabajo existentes.

  • Todas las pruebas deben ejecutarse en dispositivos móviles iOS y Android reales, no en emuladores, para garantizar una cobertura y precisión completas en el mundo real.
  • Los hallazgos deben incluir puntajes CVSS estándar de la industria, instrucciones de remediación y asignaciones a OWASP MASVS.
  • El software de prueba debe integrarse en la cadena de herramientas de desarrollo, incluidos los sistemas de compilación como Jenkins, la emisión de boletos como Jira y los repositorios como GitHub.

Poniendolo todo junto

Si bien las pruebas de seguridad de aplicaciones móviles pueden ser nuevas para muchos, son un componente esencial de la gestión de riesgos. Tanto los analistas de seguridad como los desarrolladores se benefician de programas de prueba de seguridad de aplicaciones móviles repetibles y de alta calidad. Para diseñar el programa de su organización y elegir las herramientas adecuadas que mejor se adapten a sus necesidades, consulte nuestra útil Lista de verificación de pruebas de seguridad de aplicaciones móviles.

Deja un comentario