La industria retail farmacéutica y sus aplicaciones móvilesCarlos Ávila 14 mayo, 2020 La industria del retail farmacéutico se ha visto obligada a moverse mucho mas rápido en esta carrera de la llamada «transformación digital», debido a la pandemia global que actualmente atraviesa la sociedad. Por tanto, las empresas farmacéuticas han tenido que utilizar aplicaciones que ya tenian desplegadas o desplegar aplicaciones rápidamente. Estas aplicaciones son las mismas que mueven su negocio para gestionar recetas y pedidos de medicamentos, descuentos, etc. y que hacen atractivo a los clientes el uso de sus servicios en esta época de alta demanda de medicamentos. Por otra parte, muchos gobiernos del mundo establecieron la cuarentena obligatoria, la cual hizo que las personas hiciesen mayor uso de los medios digitales para la compra de medicinas, alimentos y otros productos. Por ello, las aplicaciones móviles y la infraestructura que las soportan juegan un papel fundamental hoy en día, y lo más seguro es que incorporen a nuestro día a día más que nunca. ¿Qué implicaciones tiene esto? Todos los datos que se generan a través de los clientes son gestionados por tu dispositivo móvil y la infraestructura tecnológica (propia o de un tercero) de las empresas o cadenas farmacéuticas. Como es de suponer, estas aplicaciones podrían tener vulnerabilidades y suponer un riesgo para los datos de los clientes. Muchas de estas aplicaciones tienen comunicación directa con dispositivos y sistemas de la compañía que ejecutan procesos internos, creando un vector de ataque adicional para los cibercriminales que busquen este tipo de información. Imagen 1: Descripción y funcionalidades de las aplicaciones farmacéuticas En este análisis he seleccionado la última versión de 29 aplicaciones (iOS/Android) de compañías farmacéuticas en las que el usuario puede acceder a diversos servicios, entre los cuales destacan, principalmente, la compra online de fármacos y la gestión de recetas médicas. Las aplicaciones fueron seleccionadas de manera aleatoria en farmacéuticas de Sudamérica, España y Estados Unidos. Dentro de este muestreo de aplicaciones nos enfocamos en analizar únicamente la aplicación móvil, ya que si bien se descubrieron debilidades del lado del servidor (backend), éstas no fueron incluidas. Para esta revisión utilizamos un dispositivo Android (rooteado), un iPhone 5S (no jailbreak) y nuestras plataformas mASAPP (análisis de seguridad continuo de aplicaciones móviles) y Tacyt (herramienta de ciberinteligencia de amenazas móviles). Resultados del análisis Los controles de seguridad del Top 10 Mobile de OWASP realizaron pruebas a nivel general, las cuales sólo representan un vistazo general de la cantidad de pruebas que de manera exhaustiva que se podrían realizar a dichas aplicaciones móviles. En nuestro caso, los resultados demostraron que, si bien se implementaron controles de seguridad para el desarrollo de este tipo de aplicaciones, se encontraron varias debilidades que deberían corregirse y, sobre todo, mantener la mejora continua en el proceso de desarrollo. Las vulnerabilidades encontradas conforme a los controles evaluados se encuentran en la siguiente matriz de resumen: Sumario general de resultados controles analizados(-) Característica que aplica solo en plataformas Android En primer lugar, queremos destacar varias debilidades que encontramos en estructuras fácilmente legibles como archivos XML, API Keys o de configuración, lo que denota un almacenamiento local inseguro. Imagen 2: Archivos de Certificados/Key Hardcoded Imagen 3: Archivos con API Keys Hardcoded Legibles Si bien una gran parte de estas aplicaciones establecen canales de comunicación seguros (HTTPS) con sus backends, siguen funcionando algunos canales HTTP no cifrados, como muestra nuestro cuadro de resultados. También encontramos aplicaciones que no verifican la autenticidad de sus certificados o certificados autofirmados lo que muestran una necesidad de mejorar la seguridad en este aspecto. Imagen 4: Uso de Certificados Auto firmados Asimismo, entre otras prácticas inseguras de programación de aplicaciones, observamos la falta de características de ofuscación de código (despersonalización) para dificultar el proceso de reversing en casi todas las aplicaciones Android. Imagen 5: Revisión de clases java luego de proceso de reversing Imagen 6: Documentación y comentarios técnicos en detalle Un dato no menor en este análisis es que 5 de las aplicaciones fueron encontradas por Tacyt en markets no oficiales, en muchos casos desplegadas por usuarios que no eran necesariamente los dueños de la aplicación (a saber con qué fines). Imagen 7: Muestra de una aplicación encontrada en otros markets no oficiales Conclusiones Creemos que estos hallazgos siguen siendo un aporte más en el avance hacia una mejor seguridad y esperamos que sirva para ayudar a los desarrolladores de aplicaciones del sector farmacéutico. En esta crisis sanitaria mundial se han producido muchos otros casos en los que las industrias han tenido que transformar muchos de sus servicios tradicionales en servicios digitales, pero de una forma abrupta, con los riesgos informáticos que ello conlleva. Gestionar la seguridad y privacidad de los datos los usuarios de las aplicaciones farmacéuticas es fundamental, ya que éstas almacenan datos privados de nuestra salud. Es importante que las empresas de este sector sean consientes de que los datos de sus clientes están expuestos a riesgos informáticos y de que, mediante controles apropiados y evaluaciones constantes, deberían protegerlos, manteniendo también a salvo su infraestructura tecnológica ante potenciales ciberamenazas. ElevenPaths Radio, ahora también en Movistar HomeBestiario de una memoria mal gestionada (IV)
Telefónica Tech Boletín semanal de Ciberseguridad, 26 de noviembre – 2 de diciembre Actualización urgente de Chrome para evitar el octavo 0-day del 2022 Google ha publicado una actualización de seguridad urgente para Chrome para evitar la explotación del octavo 0-day del 2022 en el...
Sergio de los Santos Certificados para Android de Samsung, LG (y otros) usados para firmar malware Todas las apps de Android están firmadas por un certificado. Pero esto no garantiza su identidad, sino su integridad. En la práctica implica que son certificados autofirmados por el...
Sebastián Molinetti ¿Cómo funciona una nube híbrida? A la hora de abordar la digitalización e iniciar el «viaje» a la nube, la mayoría de las empresas españolas optan por soluciones multicloud o por nubes híbridas...
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 25 de noviembre Publicado exploit para vulnerabilidades ProxyNotShell A finales del pasado mes de septiembre se produjeron las primeras publicaciones acerca de nuevas vulnerabilidades críticas en Microsoft Exchange Server, CVE-2022-41040 y CVE-2022-41082, que recibieron el nombre...
Martiniano Mallavibarrena ¿Realmente estamos comprando en internet de forma “segura”? En estas fechas en las que encadenamos Black Friday, Navidad y Reyes, nunca está de más pararse un momento para hacer un repaso mental de algunos aspectos y buenas...
Telefónica Tech Trending Techies meetup: «La línea defensiva en Ciberseguridad» Hace unos días celebramos el meetup “La línea defensiva en Ciberseguridad”, un evento presencial que organizamos en el espacio de Ironhack, en Matadero Madrid, a través de la iniciativa...
