Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Seguridad en Aplicaciones Móviles

25322d9a039dd3cbd5ad552f451cf78f?s=47 José Díaz
September 19, 2020

Seguridad en Aplicaciones Móviles

Comparto con ustedes el caso de hacking ético realizado a Consultapp.pe.

Marco referencial y marco de trabajo aplicado para garantizar la seguridad de la aplicación.

25322d9a039dd3cbd5ad552f451cf78f?s=128

José Díaz

September 19, 2020
Tweet

Transcript

  1. Joe | 19 Septiembre 2020 Seguridad Aplicaciones Móviles Consultapp.pe

  2. José Amadeo Díaz Díaz Gerente de Arquitectura y Productos Digitales

    jadiaz@farmaciasperuanas.pe Java Champion @jamdiazdiaz Miembro de @PeruJUG Fundador de JoeDayz.pe
  3. Resumen Ejecutivo

  4. Objetivos de Seguridad de App Móviles • Veri f i

    car el cumplimiento de las normas, procedimientos y controles de seguridad establecidos • Determinar si los controles implementados ante eventos de seguridad son los adecuados • Ejecución de pruebas de intrusión en base a la metodología orientada en base a OWASP, OSSTMM y CVSS. • Identi f i car los agentes de amenazas especí f i cas de tal forma que se puedan neutralizar o por lo menos minimizar el riesgo que puedan generar. • Con f i rmar que las medidas de seguridad implementadas son las adecuadas y si son capaces de resistir un ataque. • Proponer mejoras a nivel de desarrollo y arquitectura de las aplicaciones.
  5. None
  6. Resultados • Se encontraron y comprobaron vulnerabilidades externas. Nivel de

    gravedad medio enfocado en divulgación de información en código no ofuscado. • La aplicación se ejecuta en un emulador de Android. • La aplicación se ejecuta en un teléfono móvil ruteado. • La aplicación divulga Token y APIs en código fuente no ofuscado.
  7. None
  8. Resumen Técnico

  9. Alcance • La evaluación fue realizada bajo las siguientes especi

    f i caciones: • Pruebas para obtener información de los servicios web relacionados para las funcionalidades especí f i cas de las opciones disponibles en las aplicaciones móviles. Análisis del entorno de ejecución de las aplicaciones (bajo los sistemas operativos Android) en búsqueda de vulnerabilidades como bu f f er over f l ow, condiciones de carrera y ausencia de seguridad en las funcionalidades locales que implementa. Acceder a la información almacenada (generada y autosugestionada por la aplicación) localmente, temporal, así como permanente (datos que la app guarda permanentemente) respecto a datos propios de la organización.
  10. Alcance • La evaluación fue realizada bajo las siguientes especi

    f i caciones: • Pruebas de f i abilidad de la con f i guración de la encriptación aplicada al transporte de información sensible, así como controles de acceso locales de la aplicación. Revisión del código fuente no ofuscado, veri f i car si la aplicación es susceptible a ingeniería reversa, así como identi f i car errores de con f i guración que permitan que un atacante vulnere los equipos, servicios y/o información contenida en ellos.
  11. Marco Referencial • OWASP Mobile Security Testing Guide • OWASP

    Mobile Application Security Veri f i cation Standard (MASVS)Ç • OWASP Testing Guide • ISECOM Open Source Security Testing Methodology Manual • CVSS Common Vulnerability Score System • ISO/IEC 27032 Guidelines for Cybersecurity • NIST Cybersecurity Framework
  12. Metodología • El análisis de la evaluación ha sido alineado

    en base a las siguientes metodologías como OWASP (proyecto abierto de seguridad de aplicaciones web), OSSTMM (Manual de Metodología abierta de Teseo de Seguridad), CWE (Enumeración de debilidades comunes) y SANS.
  13. Ambito OWASP - Aplicaciones móviles • Recopilación de información •

    Evaluación de controles débiles de lado de servidor • Evaluación de almacenamiento de datos inseguro • Evaluación de protección insu f i ciente en la capa de transporte • Evaluación de divulgación de datos no intencionada • Evaluación de la fortaleza del proceso de autenticación y autorización • Evaluación de la criptograma • Evaluación de Inyección a nivel de cliente • Evaluación de decisiones de seguridad mediante entradas no con f i ables • Evaluación de gestión de sesiones • Evaluación de la de f i ciencia de protección binaria
  14. Ambito OWASP - Servicios Web • Con f i guración

    errónea de aplicación • Desbordamiento de bu f f er • Inyección de comandos • Predicción de credenciales • Cross-site Scripting • Criptografía insegura • Denegación de servicio • Cadenas de formato • Credenciales en el código • HTTP Response Splitting • Incorrecta descodi f i cación de los datos de salida • Fuga de Información • Almacenamiento de cache de datos inseguros • Inyección de comandos de correos • Inyección Null Byte
  15. Ambito OWASP - Servicios Web • Ataques Open Redirect •

    Inyección de comandos en el sistema operativo • Rutas transversales • Condiciones de carrera • Inclusión de f i cheros remotos • Inyección de segundo orden • Fijación de sesión • Inyección SQL • URL redirección • Inyección XPath • XML entidades externas • XML expansión de entidades • Inyección XML
  16. Actividades

  17. None
  18. None
  19. None
  20. Resultados

  21. None
  22. None
  23. None
  24. None
  25. None
  26. ¿Preguntas?

  27. @joedayz informes@joedayz.pe www.joedayz.pe https://speakerdeck.com/joedayz https://github.com/joedayz https://www.youtube.com/user/joedayzperu