Cyberintelligence Report: Ciberseguridad en aplicaciones móviles bancarias

ElevenPaths    22 noviembre, 2018

A medida que el mundo se vuelve más digital, surgen nuevas oportunidades y amenazas, y tendemos a centrarnos más en los negocios. Como consecuencia, cuando estamos tratando de desarrollar un nuevo producto, sitio web o aplicación, tendemos a priorizar la velocidad, conveniencia y facilidad de implementación en lugar de la seguridad.

Desde ElevenPaths hemos realizado un análisis de un total de 56 de los principales bancos alrededor del mundo. Este análisis se basa en archivos públicos, aplicaciones web y aplicaciones móviles de estos bancos y aborda tres aspectos clave de la ciberseguridad:

  • La seguridad integrada en las aplicaciones móviles
  • Los metadatos disponibles en los documentos públicos
  • La información que podemos obtener sobre las comunicaciones de los servicios y su calidad (es decir, los puertos abiertos en los servidores, sus vulnerabilidades, etc).

Para recopilar la información hemos hecho uso de, principalmente, cuatro herramientas:

  • FOCA OpenSource, una herramienta de desarrollo propio (gratuita y Open Source) para encontrar documentos a través de los buscadores, descargarlos, extraer sus metadatos y analizarlos.
  • Tacyt y mASAPP, dos herramientas también de desarrollo propio que permiten visualizar la información de las apps en mercados oficiales y no oficiales, así como encontrar vulnerabilidades de aplicaciones móviles. mASAPP, además, puntúa cada aplicación usando un sistema propietario de scoring para clasificar las apps de más a menos seguras. Cuanto más alta es la puntuación de mASAPP, peor se considera la seguridad de esa aplicación.
  • Censys, una herramienta OSINT pública de búsqueda de servidores y dispositivos expuestos en Internet. Permite también encontrar hosts y servicios específicos asociados a los dominios de cada banco y ver cómo se configuran los sitios web y sus certificados.
mASAPP- Puntuación de riesgo global por región img
mASAPP- Puntuación de riesgo global por región

Resultados del análisis. Respecto a las aplicaciones móviles:

  • Todos los bancos analizados tenían vulnerabilidades en sus aplicaciones oficiales, causadas principalmente por fallos en la calidad del código. La vulnerabilidad más común fue la potencial inyección SQL.
  • Los bancos de Asia, África y Latam fueron los que obtuvieron peores resultados.
  • Comparamos qué permisos pedía cada aplicación bancaria. A pesar de estar en la misma industria y proporcionar el mismo servicio, solamente un permiso era común a todas ellas: Acceso a Internet.
  • Oriente Medio fue la región con el menor promedio de permisos solicitados, mientras que Asia fue la región con el mayor número de permisos solicitados por aplicación.
  • Permisos intrusivos como acceso a los contactos del teléfono, realización de llamadas sin la confirmación del usuario, lectura y escritura de SMS o lectura y escritura de ajustes del sistema estaban presentes en varias aplicaciones analizadas.
  • Algunos bancos africanos nunca han tenido aplicación móvil.

Resultados del análisis. Respecto a los metadatos:

  • Se detectaron cientos de cuentas de administrador y varias cuentas genéricas con características de administradores.
  • Basándonos en los metadatos obtenidos, existen indicios de que la mayoría de los bancos puede seguir utilizando sistemas operativos que actualmente no tienen soporte de sus fabricantes.
  • El análisis de los archivos públicos también nos ha permitido obtener la ubicación física y los nombres de varios servidores e impresoras. Esta información debe ocultarse debido a las consecuencias que puede acarrear que un actor malicioso se haga con ella.

Resultados del análisis. Respecto a los servidores, los hosts y las comunicaciones:

  • A pesar de que casi el total de los hosts utilizan HTTPS, todavía hay una gran cantidad de servicios HTTP, un protocolo no seguro.
  • La mitad de los bancos utilizan Akamai. El tráfico pasa principalmente por servidores norteamericanos.
  • Los bancos que no utilizan Akamai tienden a alojar sus servicios localmente. La única excepción es Asia, donde los bancos que no trabajan con Akamai también tienen sus servidores en Estados Unidos.
  • Ninguno de los bancos analizados de África utiliza Akamai.
  • África es la región en la que la mayoría de sus servicios están alojados localmente, seguida por Oriente Medio.
  • El servicio más popular cuando no hay ningún Akamai involucrado es FTP, seguido por SMTP y diferentes tipos de bases de datos.
  • La mayoría de los servicios están alojados en Norteamérica. Europa parece ser la segunda mejor opción, pero con una gran diferencia con respecto a Norteamérica.

Con la colaboración de:

Helene Aguirre Mindeguia
Pablo Bentanachs
Sebastián García de Saint-Léger
Pablo Moreno González

Te puede interesar

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *