$30 off During Our Annual Pro Sale. View Details »

Seguridad en Aplicaciones Móviles

José Díaz
September 19, 2020

Seguridad en Aplicaciones Móviles

Comparto con ustedes el caso de hacking ético realizado a Consultapp.pe.

Marco referencial y marco de trabajo aplicado para garantizar la seguridad de la aplicación.

José Díaz

September 19, 2020
Tweet

More Decks by José Díaz

Other Decks in Technology

Transcript

  1. Joe | 19 Septiembre 2020
    Seguridad Aplicaciones Móviles
    Consultapp.pe

    View Slide

  2. José Amadeo Díaz Díaz
    Gerente de Arquitectura y

    Productos Digitales

    [email protected]
    Java Champion
    @jamdiazdiaz
    Miembro de @PeruJUG
    Fundador de JoeDayz.pe

    View Slide

  3. Resumen Ejecutivo

    View Slide

  4. Objetivos de Seguridad de App Móviles
    • Veri
    f
    i
    car el cumplimiento de las normas, procedimientos y controles de seguridad
    establecidos

    • Determinar si los controles implementados ante eventos de seguridad son los adecuados

    • Ejecución de pruebas de intrusión en base a la metodología orientada en base a OWASP,
    OSSTMM y CVSS.

    • Identi
    f
    i
    car los agentes de amenazas especí
    f
    i
    cas de tal forma que se puedan neutralizar o
    por lo menos minimizar el riesgo que puedan generar.

    • Con
    f
    i
    rmar que las medidas de seguridad implementadas son las adecuadas y si son
    capaces de resistir un ataque.

    • Proponer mejoras a nivel de desarrollo y arquitectura de las aplicaciones.

    View Slide

  5. View Slide

  6. Resultados
    • Se encontraron y comprobaron vulnerabilidades externas. Nivel de gravedad
    medio enfocado en divulgación de información en código no ofuscado.

    • La aplicación se ejecuta en un emulador de Android.

    • La aplicación se ejecuta en un teléfono móvil ruteado.

    • La aplicación divulga Token y APIs en código fuente no ofuscado.

    View Slide

  7. View Slide

  8. Resumen Técnico

    View Slide

  9. Alcance
    • La evaluación fue realizada bajo las siguientes especi
    f
    i
    caciones:

    • Pruebas para obtener información de los servicios web relacionados para
    las funcionalidades especí
    f
    i
    cas de las opciones disponibles en las
    aplicaciones móviles. Análisis del entorno de ejecución de las aplicaciones
    (bajo los sistemas operativos Android) en búsqueda de vulnerabilidades
    como bu
    f
    f
    er over
    f
    l
    ow, condiciones de carrera y ausencia de seguridad en
    las funcionalidades locales que implementa. Acceder a la información
    almacenada (generada y autosugestionada por la aplicación) localmente,
    temporal, así como permanente (datos que la app guarda
    permanentemente) respecto a datos propios de la organización.

    View Slide

  10. Alcance
    • La evaluación fue realizada bajo las siguientes especi
    f
    i
    caciones:

    • Pruebas de
    f
    i
    abilidad de la con
    f
    i
    guración de la encriptación aplicada al
    transporte de información sensible, así como controles de acceso locales
    de la aplicación. Revisión del código fuente no ofuscado, veri
    f
    i
    car si la
    aplicación es susceptible a ingeniería reversa, así como identi
    f
    i
    car errores
    de con
    f
    i
    guración que permitan que un atacante vulnere los equipos,
    servicios y/o información contenida en ellos.

    View Slide

  11. Marco Referencial
    • OWASP Mobile Security Testing Guide

    • OWASP Mobile Application Security Veri
    f
    i
    cation Standard (MASVS)Ç

    • OWASP Testing Guide

    • ISECOM Open Source Security Testing Methodology Manual

    • CVSS Common Vulnerability Score System

    • ISO/IEC 27032 Guidelines for Cybersecurity

    • NIST Cybersecurity Framework

    View Slide

  12. Metodología
    • El análisis de la evaluación ha sido alineado en base a las siguientes
    metodologías como OWASP (proyecto abierto de seguridad de aplicaciones
    web), OSSTMM (Manual de Metodología abierta de Teseo de Seguridad),
    CWE (Enumeración de debilidades comunes) y SANS.

    View Slide

  13. Ambito OWASP - Aplicaciones móviles
    • Recopilación de información

    • Evaluación de controles débiles de lado de servidor

    • Evaluación de almacenamiento de datos inseguro

    • Evaluación de protección insu
    f
    i
    ciente en la capa de transporte

    • Evaluación de divulgación de datos no intencionada

    • Evaluación de la fortaleza del proceso de autenticación y autorización

    • Evaluación de la criptograma

    • Evaluación de Inyección a nivel de cliente

    • Evaluación de decisiones de seguridad mediante entradas no con
    f
    i
    ables

    • Evaluación de gestión de sesiones

    • Evaluación de la de
    f
    i
    ciencia de protección binaria

    View Slide

  14. Ambito OWASP - Servicios Web
    • Con
    f
    i
    guración errónea de aplicación

    • Desbordamiento de bu
    f
    f
    er

    • Inyección de comandos

    • Predicción de credenciales

    • Cross-site Scripting

    • Criptografía insegura

    • Denegación de servicio

    • Cadenas de formato

    • Credenciales en el código

    • HTTP Response Splitting

    • Incorrecta descodi
    f
    i
    cación de los datos de salida

    • Fuga de Información

    • Almacenamiento de cache de datos inseguros

    • Inyección de comandos de correos

    • Inyección Null Byte

    View Slide

  15. Ambito OWASP - Servicios Web
    • Ataques Open Redirect

    • Inyección de comandos en el sistema operativo

    • Rutas transversales

    • Condiciones de carrera

    • Inclusión de
    f
    i
    cheros remotos

    • Inyección de segundo orden

    • Fijación de sesión

    • Inyección SQL

    • URL redirección

    • Inyección XPath

    • XML entidades externas

    • XML expansión de entidades

    • Inyección XML

    View Slide

  16. Actividades

    View Slide

  17. View Slide

  18. View Slide

  19. View Slide

  20. Resultados

    View Slide

  21. View Slide

  22. View Slide

  23. View Slide

  24. View Slide

  25. View Slide

  26. ¿Preguntas?

    View Slide

  27. @joedayz
    [email protected]
    www.joedayz.pe
    https://speakerdeck.com/joedayz
    https://github.com/joedayz
    https://www.youtube.com/user/joedayzperu

    View Slide