2 dic. 2017

App de criptomonedas, "un desastre de seguridad en Android"

La gran mayoría de las aplicaciones móviles de Android disponibles en la tienda oficial Google Play que están destinadas a la administración de criptomonedas son vulnerables a los problemas más comunes y conocidos. Todo ello según un informe publicado recientemente por la firma suiza de High-Tech Bridge. El informe se elaboró analizando las aplicaciones de carteras de criptomonedas más populares utilizando Mobile X-Ray, un escáner de aplicaciones móviles gratuito basado en la web que se lanzó este mes.

Carteras de criptomonedas para Android

Mobile X-Ray realiza una combinación de pruebas de análisis dinámico y estático, junto con pruebas de comportamiento simples para la privacidad y la funcionalidad maliciosa.

Los investigadores de High-Tech Bridge utilizaron Mobile X-Ray para escanear 90 aplicaciones populares de Android en busca de vulnerabilidades comunes y varias debilidades y aseguran que más del 90% de todas las aplicaciones “pueden estar en problemas”.

Algunos de estos defectos se pueden automatizar como parte de las cadenas de explotación incluidas con los troyanos bancarios de Android. Con Bitcoin y otras criptomonedas que alcanzan los precios de cotización más altos de todos los tiempos, las vulnerabilidades en estas aplicaciones exponen a los usuarios a robos y otros fraudes financieros.

Las aplicaciones presentaban vulnerabilidades bien conocidas. Incluidas claves y contraseñas API codificadas, no usaban encriptación y eran vulnerables a los ataques de MitM.

Grandes vulnerabilidades

El tipo de vulnerabilidades que la empresa de seguridad descubrió son inconcebibles si tenemos en cuenta que estamos en 2017 y los expertos en seguridad han estado predicando sobre estos errores durante casi una década.

Sin embargo, este no es un caso marginal. Estos tipos de fallos o vulnerabilidades se han encontrado de manera regular en todas las categorías de aplicaciones móviles, no necesariamente en aplicaciones de criptomonedas, como la banca, la atención médica y el comercio de acciones.

Con todo, el informe muestra una vez más que el problema radica en la comunidad de desarrollo de aplicaciones de Android, donde la seguridad nunca es una prioridad.

"Desafortunadamente, no estoy sorprendido con los resultados de la investigación", dijo Ilia Kolochenko, CEO y fundadora de High-Tech Bridge. "Durante muchos años, las compañías de seguridad cibernética y los expertos independientes notificaron a los desarrolladores de aplicaciones móviles los riesgos de un desarrollo 'agil' que generalmente no implica una infraestructura para asegurar un diseño seguro, técnicas de codificación y endurecimiento seguros o pruebas de seguridad de aplicaciones".

Sin embargo, este no es un caso marginal, y estos tipos de fallas se han encontrado de manera regular en todas las categorías de aplicaciones móviles, no necesariamente en aplicaciones de criptomonedas, tales como banking, healthcare, dating, y stock trading.

Fuente: Bleeping Computer

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!