18 jun 2020

"La mitad de las aplicaciones de banca móvil son vulnerables" [Positive Technologies]

De acuerdo con un análisis de aplicaciones de banca móvil realizado por la empresa Positive Technologies, las fallas en este tipo de aplicaciones hacen que la mitad de todos los bancos móviles sean vulnerables al robo de fondos y representan más de la mitad de todas las vulnerabilidades detectadas.
Según los datos, ninguna de las aplicaciones de banca móvil probadas tenía un nivel de seguridad aceptable, con riesgos tanto del lado del cliente como del servidor. Los expertos analizaron 14 aplicaciones de banca móvil con todas las funciones para Android e iOS.

Las aplicaciones fueron descargadas de las tiendas de aplicaciones oficiales (Google Play y la App Store de Apple) más de 500.000 veces y los propietarios del sistema acordaron utilizar los resultados de la evaluación de seguridad para fines de investigación. Los clientes son especialmente vulnerables al acceso no autorizado a los datos del usuario, ya que el 43% de las aplicaciones almacenan datos importantes en el teléfono en texto sin cifrar, según muestran los datos.

La gran mayoría (76%) de las vulnerabilidades de la banca móvil pueden explotarse sin acceso físico al dispositivo. Además, más de un tercio de las vulnerabilidades pueden explotarse sin derechos de administrador.

No hubo fallas en las aplicaciones bancarias de iOS con severidad mayor a nivel "medio" pero, el 29% de las aplicaciones de Android contienen vulnerabilidades de alto riesgo.

Las vulnerabilidades más peligrosas se encontraron en las aplicaciones de Android e implican un manejo inseguro de enlaces. Los desarrolladores de Android tienen más libertad en la implementación, lo que explica una mayor cantidad de vulnerabilidades en este tipo de tecnología.

Del lado del servidor, las aplicaciones tienen 54% de todas las vulnerabilidades encontradas y, en promedio, cada banco tiene 23 vulnerabilidades. El 43% de las aplicaciones bancarias contienen vulnerabilidades del lado del servidor en la lógica empresarial, que los atacantes pueden explotar para obtener información confidencial del usuario y cometer fraude. Los errores de lógica de negocios pueden causar pérdidas significativas a los bancos e incluso dar lugar a complicaciones legales.

Las credenciales de usuario demostraron ser los datos más vulnerables. Por ejemplo, en el 87% de los casos, se requiere la interacción del usuario para aprovechar una vulnerabilidad.

Los expertos de Positive Technologies recomiendan que los usuarios eviten hacer jailbreaking o rootear sus dispositivos, descargar aplicaciones solo de tiendas oficiales, evitar visitar sitios web sospechosos o seguir enlaces desconocidos de SMS y mensajes de chat, y siempre instalar las últimas actualizaciones para el sistema operativo y las aplicaciones móviles.

Los bancos no están protegidos para evitar la ingeniería inversa de sus aplicaciones móviles. Además, dan poca importancia a la protección del código fuente, almacenan datos confidenciales en dispositivos móviles en texto sin cifrar y cometen errores que permiten a los delincuentes informáticos eludir los mecanismos de autenticación y autorización y las credenciales de los usuarios de fuerza bruta.

"A través de estas vulnerabilidades, los delincuentes informáticos pueden obtener nombres de usuario, saldos de cuenta, confirmaciones de transferencia, límites de tarjeta y el número de teléfono asociado con la tarjeta de la víctima".

Positive Technologies dice: "Instamos a los bancos a que hagan un mejor trabajo al enfatizar la seguridad de las aplicaciones tanto en el diseño como en el desarrollo. El código fuente está plagado de problemas, por lo que es vital revisar los enfoques de desarrollo mediante la implementación de prácticas S-SDLC y garantizar la seguridad en todas las etapas del ciclo de vida de la aplicación".

Fuente: SecurityBrief

Suscríbete a nuestro Boletín

4 comentarios:

  1. Se echa de menos el resultado del estudio. Al menos, una tabla de los bancos analizados y las vulnerabilidades detectadas en cada uno.

    ResponderBorrar
  2. Se echa de menos el resultado del estudio. Al menos, una tabla de los bancos analizados y las vulnerabilidades detectadas en cada uno.

    ResponderBorrar
  3. Se echan de menos los resultados del estudio. Sin éstos, lo publicado solo es papel mojado. Al menos, una tabla identificando cada Banco y sus vulnerabilidades.

    ResponderBorrar
  4. Deberían implementar un mini filtro de seguridad o antivirus que proteja ....los bancos tienen el dinero para resolver esto ..solo que no quieren aserlo

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!