El lado oscuro de las aplicaciones JavaScriptCarlos Ávila 20 febrero, 2020 Las aplicaciones creadas hoy en día para interoperabilidad en diferentes sistemas operativos, incluyendo Skype, Spotify, Signal, Slack, navegadores como Brave, editores de código como Visual Studio Code y muchos programas más, son usadas a diario por cada uno de nosotros y se basan en uno de los lenguajes más usados en la actualidad como es JavaScript. Además, se suman sus diferentes componentes a este stack, para su desarrollo y ejecución tanto en frontend como backend. Como decíamos el año pasado, este popular lenguaje cuenta con un sinnúmero de oportunidades para poder desplegar paquetes y aplicaciones para el un desarrollo de software web, pero no sólo eso, a esto también se suma que se han vuelto muy populares para el desarrollo de programas de escritorio independientemente del sistema operativo. Existen varios frameworks populares para el desarrollo de este tipo de aplicaciones, entre los cuales se destaca ElectronJS (como número uno y más usado), pero tenemos otros como NWJS, AppJS, Meteor y más. Arquitectura de Aplicación ElectronJS Al crear estas aplicaciones, como cualquier otra tecnología, los atacantes buscan formas de aprovecharse de estas “nuevas” implementaciones, que en muchos de los casos extienden fallos de diseño de los propios lenguajes o, al ser integradas con otros componentes, amplían los vectores de ataque, que en la actualidad pueden llegar a representar un riesgo para los datos de los usuarios. A través de la modificación de este tipo de aplicaciones y sin emitir ninguna alerta al usuario sobre dicho comportamiento, investigadores de seguridad han encontrado la forma de poder explotar debilidades que permitan introducir código arbitrario malicioso backdoor que ejecute acciones maliciosas en el equipo de la víctima (por ejemplo, capturar pulsaciones del teclado keylogger o habilitar la cámara del usuario, entre otras). De la misma manera, un consultor de seguridad puede hacer uso de estos mismos vectores de ataque dentro de una auditoría para revelar datos o hacer movimientos laterales en una red. De hecho, existen hoy en día varias herramientas de ataque, como por ejemplo beemka, que permiten sacar provecho de manera rápida de estas vulnerabilidades. Cómo proteger tus aplicaciones Aquí algunas de las referencias que podrían ayudar a asegurar este tipo de aplicaciones: Mantener tu aplicación sincronizada con la última versión del framework y componentes usados en tu desarrollo.Evaluar las dependencias usadas por tu aplicación.Analizar y conocer completamente el framework usado, esto incluye sus debilidades.Implementar prácticas de desarrollo seguro en tu proyecto. Esto sólo es un breve recordatorio para no descuidar las cosas básicas durante el desarrollo y despliegue de nuestras aplicaciones. En definitiva, los vectores a nuevas tecnologías o lenguajes migran, se actualizan, se mejoran y se diversifican, pero los riesgos siempre están presentes en todo el ciclo de vida del software, con lo cual siempre debes preguntarte ¿cuántas de las aplicaciones que uso podrían están poniendo en riesgo mis datos privados o están arriesgando la reputación de mis proyectos de desarrollo? Qué es y cómo se implementa el ethical hacking¿Cómo protegerse de un ataque DDoS?
Telefónica Tech Boletín semanal de ciberseguridad, 21—27 de mayo Vulnerabilidad sin corregir en PayPal El investigador de seguridad H4x0r-DZ ha dado a conocer una vulnerabilidad sin corregir en el servicio de transferencia de dinero de PayPal que podría permitir...
Diego Samuel Espitia Vulnerabilidades, amenazas y ciberataques a sistemas industriales Los entornos industriales se han ido convirtiendo cada vez más en un objetivo para los ciberdelincuentes
Telefónica Tech Boletín semanal de ciberseguridad, 13—20 de mayo VMware corrige vulnerabilidades críticas en varios de sus productos VMware ha publicado un aviso de seguridad con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que afecta...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Juan Elosua Tomé Shadow: tecnología de protección contra filtraciones de documentos Shadow, de Telefónica Tech, es una tecnología que permite identificar el origen de una fuga de información como la sucedida recientemente en EE UU