Resultados • Se encontraron y comprobaron vulnerabilidades externas. Nivel de gravedad medio enfocado en divulgación de información en código no ofuscado.
• La aplicación se ejecuta en un emulador de Android.
• La aplicación se ejecuta en un teléfono móvil ruteado.
• La aplicación divulga Token y APIs en código fuente no ofuscado.
Alcance • La evaluación fue realizada bajo las siguientes especi f i caciones:
• Pruebas para obtener información de los servicios web relacionados para las funcionalidades especí f i cas de las opciones disponibles en las aplicaciones móviles. Análisis del entorno de ejecución de las aplicaciones (bajo los sistemas operativos Android) en búsqueda de vulnerabilidades como bu f f er over f l ow, condiciones de carrera y ausencia de seguridad en las funcionalidades locales que implementa. Acceder a la información almacenada (generada y autosugestionada por la aplicación) localmente, temporal, así como permanente (datos que la app guarda permanentemente) respecto a datos propios de la organización.
Alcance • La evaluación fue realizada bajo las siguientes especi f i caciones:
• Pruebas de f i abilidad de la con f i guración de la encriptación aplicada al transporte de información sensible, así como controles de acceso locales de la aplicación. Revisión del código fuente no ofuscado, veri f i car si la aplicación es susceptible a ingeniería reversa, así como identi f i car errores de con f i guración que permitan que un atacante vulnere los equipos, servicios y/o información contenida en ellos.
Metodología • El análisis de la evaluación ha sido alineado en base a las siguientes metodologías como OWASP (proyecto abierto de seguridad de aplicaciones web), OSSTMM (Manual de Metodología abierta de Teseo de Seguridad), CWE (Enumeración de debilidades comunes) y SANS.