20 mar. 2015

OWASP Mobile Security (Español)

OWASP Mobile Security es un proyecto que tiene la intención de brindar recursos necesarios para que las aplicaciones móviles sean más seguras. A través de este proyecto, el objetivo es clasificar los riesgos de seguridad móviles y proporcionar controles en el desarrollo para reducir su impacto y probabilidad de explotación.

El enfoque principal es en la capa de aplicación haciendo hincapié en las aplicaciones móviles desplegadas en los dispositivos de usuario final y en la infraestructura de servidor que comunican esas aplicaciones móviles, así como en la integración entre las aplicaciones, los servicios de autenticación remota y las características específicas de la plataforma en la nube.

OWASP Top 10 de los riesgos de seguridad móvil (2014)

  1. Controles débiles del lado servidor: los agentes de amenaza incluyen cualquier entidad que actúa como una fuente de entrada no confiable hacia un servicio de backend, servicio web o una aplicación web tradicional. Ejemplos de tales entidades: malware, un usuario o una aplicación vulnerable en el dispositivo móvil.
  2. Almacenamiento inseguro de datos: los agentes de amenazas incluyen un adversario que ha alcanzado un dispositivo móvil perdido o robado, malware o cualquier aplicación que actúe en nombre del adversario y se ejecuta en el dispositivo móvil de la víctima.
  3. Protección insuficiente en la capa de datos: al diseñar una aplicación móvil, comúnmente se intercambian datos entre el cliente y el servidor. Cuando la solución transmite sus datos, debe atravesar una red portadora entre el dispositivo móvil e Internet. Los agentes de amenaza podrían explotar vulnerabilidades para interceptar datos sensibles mientras estos están viajando a través de la red: un adversario comparte la red local comprometida o vigilada (por ejemplo el Wi-Fi), se controla la red de dispositivos (routers, torres celulares, proxy, etc.), o existe un malware en el dispositivo móvil.
  4. Fuga de datos accidental: esta vulnerabilidad incluye malware móvil, versiones modificadas de aplicaciones legítimas o un adversario que tiene acceso físico al dispositivo móvil de la víctima.
  5. Autenticación y autorización pobre: los ataques que aprovechan las vulnerabilidades de autenticación suelen hacerse a través de herramientas automatizadas ya disponibles o desarrolladas a medida.
  6. Uso de criptografía débil: los agentes de amenazas incluyen cualquier persona con acceso físico a los datos que han sido cifrados incorrectamente, o a malware móvil actuando en nombre del adversario.
  7. Inyección del lado del cliente: se considera que alguien puede enviar datos no confiables (por ej. scripts) a la aplicación móvil y mediante ellos tomar el control del dispositivo.
  8. Decisiones de seguridad a través de entradas no confiables: incluye cualquier tipo de entidad que pueda enviar entradas no confiables a métodos sensible de la aplicación móvil para que la misma realice acciones no deseadas.
  9. Manejo incorrecto de sesiones: cualquier persona o cualquier aplicación móvil con acceso al tráfico HTTP/S, datos de cookies, etc. puede manipular una sesión establecida del usuario o establecer una nueva en su nombre.
  10. Falta de protección en binarios: típicamente, un adversario podrá analizar y realizar ingeniería inversa del código de una aplicación móvil, luego modificarlo para realizar algunas funciones ocultas.
Empleando una solución de análisis de vulnerabilidades se puede automatizar algunas de las pruebas de seguridad. Sin embargo, un problema común de estas evaluaciones incluyen demasiados falsos positivos y entonces los programadores y analistas de seguridad pueden pasar por alto los verdaderos riesgos.

Es imperativo que se considere un análisis de vulnerabilidades completo basado en el Top 10 y con una profunda investigación que ayudará a entrenar a los desarrolladores en las mejores prácticas de seguridad así como a mejorar el tiempo de desarrollo y su productividad.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!