mASAPP Online o cómo analizar tus apps móvilesMiguel Carrillo 14 noviembre, 2018 La proliferación de aplicaciones móviles en distintas plataformas como iOS o Android abre nuevas y jugosas oportunidades de ataque contra personas y empresas. El canal móvil es un atractivo campo de operaciones para atacantes porque aún no existe suficiente consciencia de la necesidad de aplicar medidas de seguridad en nuestros teléfonos móviles y tablets, que suelen estar muy desprotegidos. Como se anunció el pasado Security Innovation Day 2018, ElevenPaths ha creado un servicio 100 % contratable online para la detección de potenciales vulnerabilidades de apps llamado mASAPP Online. La creación de un usuario es gratuita y posteriormente cada uno puede elegir un plan de pago (mediante PayPal) de entre un catálogo de opciones en términos de duración y de número de aplicaciones que se puede analizar en el periodo contratado. El servicio se presta extremo a extremo de modo autónomo, evitando al usuario la necesidad de intermediarios en la contratación y uso del servicio. Como resultado final, para cada aplicación se puede ver en pantalla una lista de vulnerabilidades a corregir y de comportamientos sospechosos a evaluar. ¿Por qué debería proteger mis apps móviles? Al plantearse los riesgos de mantener un canal móvil, lo primero que se podría pensar es que alguien puede instalar malware en mi dispositivo. Las distintas variantes que se han ido descubriendo en entornos móviles pueden someternos a todo un florido catálogo de disgustos: ralentización, utilización de recursos, espionaje de nuestra actividad, robo de datos, ransomware… Sin embargo, no todos los riesgos residen en las aplicaciones maliciosas. Una aplicación perfectamente legítima puede suponer un riesgo tanto para la organización que la desarrolla como para el usuario que la instala. Supongamos que el banco Nevele Bank quiere publicar una aplicación en Google Play y otra similar para iOS. Antes de hacerlo debe pasar obligatoriamente por una valoración de los riesgos que asume y hace asumir a sus clientes. Cualquier fallo tendrá un impacto sobre su imagen y, desde luego, Nevele Bank no quiere ser blanco de sensacionalistas titulares si alguna brecha de seguridad expone a sus clientes o pone en riesgo su negocio. Hay muchas cosas que Nevele Bank no quiere que pasen. No quiere que un hacker pueda entrar al sistema accediendo a las cuentas de un usuario o realizando operaciones en su nombre. Tampoco quiere que desde otra aplicación maliciosa en el mismo terminal se pueda interactuar con la suya. Hay muchos más escenarios a controlar; otro ejemplo relevante es que alguien con los suficientes conocimientos pueda hacer ingeniería inversa de sus apps y gane un conocimiento de sus servicios de backend. Esta información podría facilitar la planificación de ataques directos contra su infraestructura. ¿Y qué hago entonces? La primera respuesta es que debemos asumir que hay que convivir con el riesgo, pero con responsabilidad y sentido común. La seguridad total no existe, pero sí se pueden poner los medios para alcanzar un razonable nivel de protección. Cuando nos relacionemos con aplicaciones de otros, debemos evitar descargas de apps de sitios no oficiales. A menudo ofrecen aparentes chollos de apps gratuitas, que demasiado frecuentemente son realmente versiones modificadas con código malicioso. Y, por supuesto, igual que se protege un equipo de sobremesa con un antivirus, debemos adoptar similares medidas en nuestros móviles y tablets. Cuando se trata de nuestras propias aplicaciones, debemos aplicar una serie de buenas prácticas que compliquen la actuación de “los malos”: El ciclo de desarrollo debe tener en cuenta aspectos básicos de seguridad para evitar vulnerabilidades en el resultado. Una vez terminamos el desarrollo (o incluso en versiones intermedias), debemos analizar la app con algún tipo de herramienta como mASAPP Online, capaz de detectar vulnerabilidades. El resultado de este análisis seguramente motivará una serie de correcciones y nos ayudará a reforzar nuestras buenas prácticas de seguridad en la fase de desarrollo. Idealmente, un hacker ético nos puede hacer un gran servicio poniendo a prueba la seguridad de nuestras apps, pero esto último no está al alcance de todos. Este breve vídeo, de poco más de un minuto de duración, hace un recorrido desde el momento en que nos registramos en mASAPP Online hasta que obtenemos los resultados del análisis de nuestras apps. m33tfinder: Vulnerabilidad en Cisco Meeting Server descubierta por ElevenPathsPresentamos CapaciCard, nuestra tecnología física de identificación y autorización de forma sencilla
Cristina del Carmen Arroyo Siruela ¿Qué distingue a una Mujer Hacker? Qué tiene de especial una Mujer Hacker es algo que he ido descubriendo a lo largo de mi vida, a lo largo de mis distintas vivencias con la tecnología. Mi primera experiencia, como muchas de...
ElevenPaths #MujeresHacker: apuesta por tu pasión #MujeresHacker, la iniciativa global de Telefónica que persigue visibilizar el papel de la mujer dentro del sector tecnológico y concienciar a nuestras niñas sobre su potencial para estudiar carreras...
ElevenPaths Entrevista: hablamos de libros y #MujeresHacker con Javier Padilla Hace unos días tuvimos la oportunidad de hablar con Javier Padilla, emprendedor en Internet y escritor de los libros protagonizados por la joven hacker Mara Turing, una charla muy...
ElevenPaths Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de...
ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TLS ¿Qué es un certificado digital? Un Certificado digital SSL/TLS (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
Carlos Ávila Tu sistema macOS también es objetivo del cibercrimen, ¡fortalécelo! Según statcounter, el sistema operativo de Apple, en concreto macOS (OSX anteriormente), tiene una cuota de mercado de alrededor del 17%, siendo el segundo sistema operativo de escritorio más...
