Existe una nueva modalidad que puede hacernos temblar si se usa para actos delictivos. Se trata de la ingeniería inversa. En el siguiente post te diremos cómo a través de esta ingeniería inversa se puede crear un alto grado de vulnerabilidad en las aplicaciones móviles financieras.
Vulnerabilidad en las aplicaciones móviles financieras
Un pirata informático invirtió 30 aplicaciones financieras móviles y encontró datos confidenciales ocultos en el código subyacente de casi todas las aplicaciones examinadas. Con esta información, un pirata informático podría, por ejemplo, recuperar las claves de la interfaz de programación de aplicaciones (API), usarlas para atacar a los servidores backend del proveedor y comprender los datos del usuario.
Las aplicaciones en cuestión fueron todas de Android y se seleccionaron en ocho sectores, incluyendo banca minorista, atención médica y seguros de automóviles. Arxan Technologies, la compañía detrás del experimento, realizó esta investigación a la que denominó In Plain Sight: La epidemia de vulnerabilidad en las aplicaciones móviles financieras. Y esto dijeron sobre el caso.
«Muchos de los hallazgos fueron impactantes por lo menos, Incluso descubrí que algunas instituciones financieras codificaban de forma segura las claves privadas, las claves API y los certificados privados, todo en el código real o almacenándolos en los subdirectorios de la aplicación». Dijo Alissa Knight, analista sénior de ciberseguridad de Aite Group, quien realizó la investigación. En otros casos, Knight también comentó que encontró las URL que usan las aplicaciones para comunicarse, con lo que permitiría a un adversario dirigirse también a las API de los servidores backend.
La falta de protecciones binarias, le permitió encontrar once debilidades únicas, entre ellas; almacenamiento de datos inseguros, fuga de datos involuntaria, cifrado débil, confianza implícita de todos los certificados, archivos y directorios legibles, exposición de claves privadas, exposición de parámetros de bases de datos entre otros.
Como solución Knight recomienda acciones como la adopción del blindaje de la aplicación, la detección de manipulación indebida, el cifrado de datos en reposo y la protección de claves a través del cifrado de caja blanca.
«Los desarrolladores de aplicaciones necesitan algún tipo de capacidad de detección y respuesta, para que puedan comprender qué está sucediendo exactamente con esa aplicación y controlarla antes de que se convierta en una brecha», dijo Knight.