Seguridad en Aplicaciones Móviles

Transcript

1. Joe | 19 Septiembre 2020
   Seguridad Aplicaciones Móviles
   Consultapp.pe
   

   View Slide

2. José Amadeo Díaz Díaz
   Gerente de Arquitectura y
   
   Productos Digitales
   
   [email protected]
   Java Champion
   @jamdiazdiaz
   Miembro de @PeruJUG
   Fundador de JoeDayz.pe
   

   View Slide

3. Resumen Ejecutivo
   

   View Slide

4. Objetivos de Seguridad de App Móviles
   • Veri
   f
   i
   car el cumplimiento de las normas, procedimientos y controles de seguridad
   establecidos
   
   • Determinar si los controles implementados ante eventos de seguridad son los adecuados
   
   • Ejecución de pruebas de intrusión en base a la metodología orientada en base a OWASP,
   OSSTMM y CVSS.
   
   • Identi
   f
   i
   car los agentes de amenazas especí
   f
   i
   cas de tal forma que se puedan neutralizar o
   por lo menos minimizar el riesgo que puedan generar.
   
   • Con
   f
   i
   rmar que las medidas de seguridad implementadas son las adecuadas y si son
   capaces de resistir un ataque.
   
   • Proponer mejoras a nivel de desarrollo y arquitectura de las aplicaciones.
   

   View Slide

5. View Slide

6. Resultados
   • Se encontraron y comprobaron vulnerabilidades externas. Nivel de gravedad
   medio enfocado en divulgación de información en código no ofuscado.
   
   • La aplicación se ejecuta en un emulador de Android.
   
   • La aplicación se ejecuta en un teléfono móvil ruteado.
   
   • La aplicación divulga Token y APIs en código fuente no ofuscado.
   

   View Slide

7. View Slide

8. Resumen Técnico
   

   View Slide

9. Alcance
   • La evaluación fue realizada bajo las siguientes especi
   f
   i
   caciones:
   
   • Pruebas para obtener información de los servicios web relacionados para
   las funcionalidades especí
   f
   i
   cas de las opciones disponibles en las
   aplicaciones móviles. Análisis del entorno de ejecución de las aplicaciones
   (bajo los sistemas operativos Android) en búsqueda de vulnerabilidades
   como bu
   f
   f
   er over
   f
   l
   ow, condiciones de carrera y ausencia de seguridad en
   las funcionalidades locales que implementa. Acceder a la información
   almacenada (generada y autosugestionada por la aplicación) localmente,
   temporal, así como permanente (datos que la app guarda
   permanentemente) respecto a datos propios de la organización.
   

   View Slide

10. Alcance
    • La evaluación fue realizada bajo las siguientes especi
    f
    i
    caciones:
    
    • Pruebas de
    f
    i
    abilidad de la con
    f
    i
    guración de la encriptación aplicada al
    transporte de información sensible, así como controles de acceso locales
    de la aplicación. Revisión del código fuente no ofuscado, veri
    f
    i
    car si la
    aplicación es susceptible a ingeniería reversa, así como identi
    f
    i
    car errores
    de con
    f
    i
    guración que permitan que un atacante vulnere los equipos,
    servicios y/o información contenida en ellos.
    

    View Slide

11. Marco Referencial
    • OWASP Mobile Security Testing Guide
    
    • OWASP Mobile Application Security Veri
    f
    i
    cation Standard (MASVS)Ç
    
    • OWASP Testing Guide
    
    • ISECOM Open Source Security Testing Methodology Manual
    
    • CVSS Common Vulnerability Score System
    
    • ISO/IEC 27032 Guidelines for Cybersecurity
    
    • NIST Cybersecurity Framework
    

    View Slide

12. Metodología
    • El análisis de la evaluación ha sido alineado en base a las siguientes
    metodologías como OWASP (proyecto abierto de seguridad de aplicaciones
    web), OSSTMM (Manual de Metodología abierta de Teseo de Seguridad),
    CWE (Enumeración de debilidades comunes) y SANS.
    

    View Slide

13. Ambito OWASP - Aplicaciones móviles
    • Recopilación de información
    
    • Evaluación de controles débiles de lado de servidor
    
    • Evaluación de almacenamiento de datos inseguro
    
    • Evaluación de protección insu
    f
    i
    ciente en la capa de transporte
    
    • Evaluación de divulgación de datos no intencionada
    
    • Evaluación de la fortaleza del proceso de autenticación y autorización
    
    • Evaluación de la criptograma
    
    • Evaluación de Inyección a nivel de cliente
    
    • Evaluación de decisiones de seguridad mediante entradas no con
    f
    i
    ables
    
    • Evaluación de gestión de sesiones
    
    • Evaluación de la de
    f
    i
    ciencia de protección binaria
    

    View Slide

14. Ambito OWASP - Servicios Web
    • Con
    f
    i
    guración errónea de aplicación
    
    • Desbordamiento de bu
    f
    f
    er
    
    • Inyección de comandos
    
    • Predicción de credenciales
    
    • Cross-site Scripting
    
    • Criptografía insegura
    
    • Denegación de servicio
    
    • Cadenas de formato
    
    • Credenciales en el código
    
    • HTTP Response Splitting
    
    • Incorrecta descodi
    f
    i
    cación de los datos de salida
    
    • Fuga de Información
    
    • Almacenamiento de cache de datos inseguros
    
    • Inyección de comandos de correos
    
    • Inyección Null Byte
    

    View Slide

15. Ambito OWASP - Servicios Web
    • Ataques Open Redirect
    
    • Inyección de comandos en el sistema operativo
    
    • Rutas transversales
    
    • Condiciones de carrera
    
    • Inclusión de
    f
    i
    cheros remotos
    
    • Inyección de segundo orden
    
    • Fijación de sesión
    
    • Inyección SQL
    
    • URL redirección
    
    • Inyección XPath
    
    • XML entidades externas
    
    • XML expansión de entidades
    
    • Inyección XML
    

    View Slide

16. Actividades
    

    View Slide

17. View Slide

18. View Slide

19. View Slide

20. Resultados
    

    View Slide

21. View Slide

22. View Slide

23. View Slide

24. View Slide

25. View Slide

26. ¿Preguntas?
    

    View Slide

27. @joedayz
    [email protected]
    www.joedayz.pe
    https://speakerdeck.com/joedayz
    https://github.com/joedayz
    https://www.youtube.com/user/joedayzperu
    

    View Slide