Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Seguridad en Aplicaciones Móviles

José Díaz
September 19, 2020

Seguridad en Aplicaciones Móviles

Comparto con ustedes el caso de hacking ético realizado a Consultapp.pe.

Marco referencial y marco de trabajo aplicado para garantizar la seguridad de la aplicación.

José Díaz

September 19, 2020
Tweet

More Decks by José Díaz

Other Decks in Technology

Transcript

  1. José Amadeo Díaz Díaz Gerente de Arquitectura y Productos Digitales

    [email protected] Java Champion @jamdiazdiaz Miembro de @PeruJUG Fundador de JoeDayz.pe
  2. Objetivos de Seguridad de App Móviles • Veri f i

    car el cumplimiento de las normas, procedimientos y controles de seguridad establecidos • Determinar si los controles implementados ante eventos de seguridad son los adecuados • Ejecución de pruebas de intrusión en base a la metodología orientada en base a OWASP, OSSTMM y CVSS. • Identi f i car los agentes de amenazas especí f i cas de tal forma que se puedan neutralizar o por lo menos minimizar el riesgo que puedan generar. • Con f i rmar que las medidas de seguridad implementadas son las adecuadas y si son capaces de resistir un ataque. • Proponer mejoras a nivel de desarrollo y arquitectura de las aplicaciones.
  3. Resultados • Se encontraron y comprobaron vulnerabilidades externas. Nivel de

    gravedad medio enfocado en divulgación de información en código no ofuscado. • La aplicación se ejecuta en un emulador de Android. • La aplicación se ejecuta en un teléfono móvil ruteado. • La aplicación divulga Token y APIs en código fuente no ofuscado.
  4. Alcance • La evaluación fue realizada bajo las siguientes especi

    f i caciones: • Pruebas para obtener información de los servicios web relacionados para las funcionalidades especí f i cas de las opciones disponibles en las aplicaciones móviles. Análisis del entorno de ejecución de las aplicaciones (bajo los sistemas operativos Android) en búsqueda de vulnerabilidades como bu f f er over f l ow, condiciones de carrera y ausencia de seguridad en las funcionalidades locales que implementa. Acceder a la información almacenada (generada y autosugestionada por la aplicación) localmente, temporal, así como permanente (datos que la app guarda permanentemente) respecto a datos propios de la organización.
  5. Alcance • La evaluación fue realizada bajo las siguientes especi

    f i caciones: • Pruebas de f i abilidad de la con f i guración de la encriptación aplicada al transporte de información sensible, así como controles de acceso locales de la aplicación. Revisión del código fuente no ofuscado, veri f i car si la aplicación es susceptible a ingeniería reversa, así como identi f i car errores de con f i guración que permitan que un atacante vulnere los equipos, servicios y/o información contenida en ellos.
  6. Marco Referencial • OWASP Mobile Security Testing Guide • OWASP

    Mobile Application Security Veri f i cation Standard (MASVS)Ç • OWASP Testing Guide • ISECOM Open Source Security Testing Methodology Manual • CVSS Common Vulnerability Score System • ISO/IEC 27032 Guidelines for Cybersecurity • NIST Cybersecurity Framework
  7. Metodología • El análisis de la evaluación ha sido alineado

    en base a las siguientes metodologías como OWASP (proyecto abierto de seguridad de aplicaciones web), OSSTMM (Manual de Metodología abierta de Teseo de Seguridad), CWE (Enumeración de debilidades comunes) y SANS.
  8. Ambito OWASP - Aplicaciones móviles • Recopilación de información •

    Evaluación de controles débiles de lado de servidor • Evaluación de almacenamiento de datos inseguro • Evaluación de protección insu f i ciente en la capa de transporte • Evaluación de divulgación de datos no intencionada • Evaluación de la fortaleza del proceso de autenticación y autorización • Evaluación de la criptograma • Evaluación de Inyección a nivel de cliente • Evaluación de decisiones de seguridad mediante entradas no con f i ables • Evaluación de gestión de sesiones • Evaluación de la de f i ciencia de protección binaria
  9. Ambito OWASP - Servicios Web • Con f i guración

    errónea de aplicación • Desbordamiento de bu f f er • Inyección de comandos • Predicción de credenciales • Cross-site Scripting • Criptografía insegura • Denegación de servicio • Cadenas de formato • Credenciales en el código • HTTP Response Splitting • Incorrecta descodi f i cación de los datos de salida • Fuga de Información • Almacenamiento de cache de datos inseguros • Inyección de comandos de correos • Inyección Null Byte
  10. Ambito OWASP - Servicios Web • Ataques Open Redirect •

    Inyección de comandos en el sistema operativo • Rutas transversales • Condiciones de carrera • Inclusión de f i cheros remotos • Inyección de segundo orden • Fijación de sesión • Inyección SQL • URL redirección • Inyección XPath • XML entidades externas • XML expansión de entidades • Inyección XML