La tecnología y los ‘Toll Pay’… ¿(In)Seguridad en Aplicaciones Móviles de TelePeajes?

Carlos Ávila    28 noviembre, 2019
La tecnología y los ‘Toll Pay’… ¿(In)Seguridad en Aplicaciones Móviles de TelePeajes?

Con frecuencia viajamos hacia nuestros destinos preferidos y vemos cómo las ciudades se modernizan a partir del uso a tecnologías con el fin de agilizar procesos de pago, mejorar el transito y lograr que los usuarios ganen tiempo en sus rutinas diarias. Toda esta información es gestionada desde alguna infraestructura tecnológica para tomar decisiones, como verificación de pagos y saldos, apertura de telepeajes, acceso a lugares privados, etc.

En otra serie de post hemos ido analizando aplicaciones móviles enfocadas en otro tipo de entornos, quizás un poco ‘inusuales’. Para escribir este articulo pensamos en realizar una revisión general a la seguridad de las aplicaciones móviles sobre telepeaje (Pay Toll o Electronic Toll Payment en inglés), y cuál seria el estado actual de seguridad de estas aplicaciones que nos ayudan a gestionar información y realizar transacciones desde nuestro coche.

Hoy en día, muchas de estas aplicaciones tienen interacción con dispositivos de telemetría, RFID o comunicación directa desde internet con sistemas de la infraestructura tecnológica interna de las organizaciones, creando un vector de ataque adicional para las mismas, sumado a que los usuarios podrían utilizar aplicaciones inseguras para gestionar sus datos.

En este análisis hemos seleccionado 41 aplicaciones (tanto de iOS como de Android) que percibimos como relevantes en base a su ranking, número de descargas en sus respectivos markets y características puntuales, todas ellas en su última versión, utilizando nuestra plataforma mASAPP de análisis de vulnerabilidades en aplicaciones. Dentro de este muestreo de aplicaciones nos enfocamos en analizar únicamente de manera general y no a nivel de detalles cada aplicación móvil, ya que si bien se descubrieron debilidades del lado del servidor (backend) no fueron incluidas.

Analizando apps en Android e iOS

Para esta revisión utilizamos un dispositivo Android (rooteado), IPhone 5S (no jailbreak) y nuestra plataforma de análisis de seguridad continuo de aplicaciones móviles mASAPP.  En base a los controles de seguridad del Top 10 Mobile de OWASP realizamos pruebas a nivel macro y los resultados nos permitieron observar que el desarrollo de este tipo de aplicaciones necesitan mejorar varios aspectos de seguridad.

Imagen 2: Resumen General de Resultados

En principio, ciertas evidencias de este análisis nos demuestra que las aplicaciones interactúan cada vez con servicios en la nube para almacenar la información, tipo firebase, y es así también que podemos encontrarnos con varias de estas aplicaciones exponiendo datos, como se muestra en la imagen 3.

Imagen 3: Firebase DB expuesta públicamente

De la misma manera, encontramos estructuras fácilmente legibles entre archivos XML, API Keys o de configuración, lo que denota otra mala práctica en cuanto almacenamiento local inseguro.

Imagen 4: Archivos de Certificados/Key ‘Hardcoded’
Imagen 5: Archivos con API Keys “hardcoded” Legibles

Si bien una gran parte de estas aplicaciones establecen canales de comunicación seguros (HTTPS) con sus backends; como muestran nuestro cuadro de resultados, siguen funcionando algunos canales HTTP no cifrados, aplicaciones sin verificar autenticidad de certificados, certificados autofirmados, o aplicación de métodos para mejorar la seguridad en este aspecto.

Imagen 6: Uso de Certificados Auto firmados

Entre las prácticas inseguras de programación de aplicaciones, se observan en este tipo de aplicaciones la falta de características de ofuscación de código (despersonalización) para dificultar el proceso de reversing.

Un dato no menor dentro de los análisis que realizamos, es que hemos encontrado que varias de las aplicaciones analizadas son encontradas por nuestra plataforma Tacyt en markets no oficiales -en este caso 12 aplicaciones-, desplegadas por otros usuarios que no son necesariamente los dueños de la aplicación.

Esperamos que este post sirva como aporte para que la industria y estos entornos continúen mejorando en aspectos de seguridad, ya que como vemos en tecnologías que son cada vez mas parte de nuestra rutina diaria, se presentan riesgos informáticos y nuevos vectores de ataque que los cibercriminales buscarán utilizar si no comenzamos a tenerlos en cuenta para su mejora y protección.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *