Joe | 19 Septiembre 2020 Seguridad Aplicaciones Móviles Consultapp.pe

José Amadeo Díaz Díaz Gerente de Arquitectura y Productos Digitales jadiaz@farmaciasperuanas.pe Java Champion @jamdiazdiaz Miembro de @PeruJUG Fundador de JoeDayz.pe

Resumen Ejecutivo

Objetivos de Seguridad de App Móviles • Veri f i car el cumplimiento de las normas, procedimientos y controles de seguridad establecidos • Determinar si los controles implementados ante eventos de seguridad son los adecuados • Ejecución de pruebas de intrusión en base a la metodología orientada en base a OWASP, OSSTMM y CVSS. • Identi f i car los agentes de amenazas especí f i cas de tal forma que se puedan neutralizar o por lo menos minimizar el riesgo que puedan generar. • Con f i rmar que las medidas de seguridad implementadas son las adecuadas y si son capaces de resistir un ataque. • Proponer mejoras a nivel de desarrollo y arquitectura de las aplicaciones.

No content

Resultados • Se encontraron y comprobaron vulnerabilidades externas. Nivel de gravedad medio enfocado en divulgación de información en código no ofuscado. • La aplicación se ejecuta en un emulador de Android. • La aplicación se ejecuta en un teléfono móvil ruteado. • La aplicación divulga Token y APIs en código fuente no ofuscado.

No content

Resumen Técnico

Alcance • La evaluación fue realizada bajo las siguientes especi f i caciones: • Pruebas para obtener información de los servicios web relacionados para las funcionalidades especí f i cas de las opciones disponibles en las aplicaciones móviles. Análisis del entorno de ejecución de las aplicaciones (bajo los sistemas operativos Android) en búsqueda de vulnerabilidades como bu f f er over f l ow, condiciones de carrera y ausencia de seguridad en las funcionalidades locales que implementa. Acceder a la información almacenada (generada y autosugestionada por la aplicación) localmente, temporal, así como permanente (datos que la app guarda permanentemente) respecto a datos propios de la organización.

Alcance • La evaluación fue realizada bajo las siguientes especi f i caciones: • Pruebas de f i abilidad de la con f i guración de la encriptación aplicada al transporte de información sensible, así como controles de acceso locales de la aplicación. Revisión del código fuente no ofuscado, veri f i car si la aplicación es susceptible a ingeniería reversa, así como identi f i car errores de con f i guración que permitan que un atacante vulnere los equipos, servicios y/o información contenida en ellos.

Marco Referencial • OWASP Mobile Security Testing Guide • OWASP Mobile Application Security Veri f i cation Standard (MASVS)Ç • OWASP Testing Guide • ISECOM Open Source Security Testing Methodology Manual • CVSS Common Vulnerability Score System • ISO/IEC 27032 Guidelines for Cybersecurity • NIST Cybersecurity Framework

Metodología • El análisis de la evaluación ha sido alineado en base a las siguientes metodologías como OWASP (proyecto abierto de seguridad de aplicaciones web), OSSTMM (Manual de Metodología abierta de Teseo de Seguridad), CWE (Enumeración de debilidades comunes) y SANS.

Ambito OWASP - Aplicaciones móviles • Recopilación de información • Evaluación de controles débiles de lado de servidor • Evaluación de almacenamiento de datos inseguro • Evaluación de protección insu f i ciente en la capa de transporte • Evaluación de divulgación de datos no intencionada • Evaluación de la fortaleza del proceso de autenticación y autorización • Evaluación de la criptograma • Evaluación de Inyección a nivel de cliente • Evaluación de decisiones de seguridad mediante entradas no con f i ables • Evaluación de gestión de sesiones • Evaluación de la de f i ciencia de protección binaria

Ambito OWASP - Servicios Web • Con f i guración errónea de aplicación • Desbordamiento de bu f f er • Inyección de comandos • Predicción de credenciales • Cross-site Scripting • Criptografía insegura • Denegación de servicio • Cadenas de formato • Credenciales en el código • HTTP Response Splitting • Incorrecta descodi f i cación de los datos de salida • Fuga de Información • Almacenamiento de cache de datos inseguros • Inyección de comandos de correos • Inyección Null Byte

Ambito OWASP - Servicios Web • Ataques Open Redirect • Inyección de comandos en el sistema operativo • Rutas transversales • Condiciones de carrera • Inclusión de f i cheros remotos • Inyección de segundo orden • Fijación de sesión • Inyección SQL • URL redirección • Inyección XPath • XML entidades externas • XML expansión de entidades • Inyección XML

Actividades

No content

No content

No content

Resultados

No content

No content

No content

No content

No content

¿Preguntas?

@joedayz informes@joedayz.pe www.joedayz.pe https://speakerdeck.com/joedayz https://github.com/joedayz https://www.youtube.com/user/joedayzperu