Estudio sobre la seguridad de las aplicaciones móviles

Transcripción

1 Informe Estudio sobre la seguridad de las aplicaciones móviles Informe de 2013

2 Índice 3 Hallazgos del informe 4 Hallazgos de la investigación 4 Problemas de privacidad 5 Falta de protección binaria 5 Almacenamiento inseguro de datos 5 Seguridad de transporte 6 Pobres controles del lado del servidor 6 Conclusión 7 Metodología

3 Descripción general Confía en sus aplicaciones móviles? Si bien los usuarios hoy son más móviles que nunca antes, esa flexibilidad trae aparejado un riesgo mayor. A medida que los gerentes comerciales presionan para obtener más aplicaciones móviles, desarrollos más rápidos, recursos nuevos y una mayor distribución de estas aplicaciones, el riesgo de exposición de las empresas aumenta exponencialmente. El sector de TI debe garantizar que estas aplicaciones sean seguras, incluso si son desarrolladas por un tercero; sin embargo, la demanda de expertos de seguridad calificados que comprendan el escenario de vulnerabilidad móvil hace que sea más difícil mantener este conocimiento experto a nivel interno. Consecuentemente, las organizaciones corren el riesgo de exponer sus datos corporativos, perder valor de su marca y, en última instancia, sufrir pérdidas financieras por violaciones a sus aplicaciones móviles. A medida que los límites de la informática desaparecen, los adversarios cada vez más sobrepasan el perímetro de seguridad y aprovechan las vulnerabilidades que presentan esta cantidad de aplicaciones en aumento y sus puntos de entrada sin seguridad. Al mismo tiempo, los gerentes comerciales aumentan considerablemente la tasa de implementación de aplicaciones móviles muchas veces apresuradas y muchas de las cuales, por necesidad, son desarrolladas por terceros. Consecuentemente, las aplicaciones móviles representan una verdadera amenaza de seguridad, lo que acentúa la necesidad de una estrategia de seguridad de aplicación móvil que permita a las empresas pasar de rápido al mercado a segura y rápido al mercado. Hallazgos del informe Las aplicaciones móviles para empresas se encuentran a la par de decenas, e incluso cientos, de aplicaciones móviles para el consumidor e información personal almacenada. Esto agrega una exposición innecesaria que se puede resolver fácilmente si se identifican y se solucionan las vulnerabilidades antes de lanzar una aplicación para su implementación. HP Security Research aprovechó HP Fortify on Demand (FoD) Mobile para analizar más de 2000 aplicaciones móviles de más de 600 empresas, y reveló realidades alarmantes en cuanto a la gran cantidad de aplicaciones vulnerables a ataques, además de los errores de vulnerabilidad más comunes y más fáciles de resolver. Estadísticas de aplicaciones: Se analizaron 2107 aplicaciones publicadas por empresas de la lista Forbes Global 2000 Aplicaciones de 601 empresas diferentes Empresas ubicadas en 50 países Empresas que operan en 76 países Aplicaciones de 22 categorías, con inclusión de redes sociales y de productividad 3

4 Hallazgos de la investigación HP Research evaluó más de 2000 aplicaciones móviles de más de 600 empresas 97% evaluadas accede como mínimo a una fuente de información privada de esas aplicaciones. El 86% El 75% El 18% El 71% no usaban protecciones de endurecimiento binario simple contra los ataques de hoy en día. no usan técnicas de cifrado adecuadas al almacenar datos en un dispositivo móvil. enviaban nombres de usuario y contraseñas a través de HTTP (del 85% restante), el 18% implementó SSL/HTTPS en forma incorrecta. de las vulnerabilidades residían en el servidor web. Problemas de privacidad El 97% evaluadas pudo acceder como mínimo a una fuente de información privada Con decenas de aplicaciones de consumidor, la información personal y las aplicaciones móviles para empresas en el mismo dispositivo parecen actuar en forma independiente; sin embargo, sin una seguridad adecuada integrada en las aplicaciones móviles, puede existir una comunicación e integración oculta. La versión más nueva del juego Mad Mallards debería tener acceso a enviar un texto con su lista de contactos o correo electrónico enviado? O, de hecho poder llamar a un número de teléfono? Qué sucede si deseara enviar su lista de contactos al sitio web de un tercero? Descubrimos que un enorme 97% de aplicaciones tenían acceso a este tipo de datos y podían compartirlos. Lo peor de todo, la mayor parte de estos datos se envía a empresas de terceros a través de HTTP. En nuestra investigación, descubrimos aplicaciones bancarias que se integraban con aplicaciones de medios sociales y de chat que enviaban registros de conversaciones a analizar para observar tendencias de compra futuras y muchísimas aplicaciones que hacen seguimiento de personas mediante geolocalización. Las diez categorías móviles principales de OWASP: M4: filtración de datos imprevista y M1: débiles controles del lado del servidor 4

5 Falta de protección binaria El 86% no usaban protecciones simples contra los ataques de hoy en día Las protecciones binarias son una clase de protecciones de seguridad fáciles de implementar. De hecho, la mayor parte de ellas son simples casillas de verificación que simplemente hay que seleccionar antes de compilar la aplicación y enviarla a Apple. Las protecciones binarias agregan más seguridad contra los ataques de desborde y explotación de la era moderna. También hacen cosas como proteger su aplicación contra los atacantes que pueden desear aplicar ingeniería inversa con fines de piratería. En otros casos, son simples prácticas recomendadas que reducen la información que su aplicación compartiría en situaciones de normalidad. Recursos como Ejecutable Independientemente de la Posición (PIE), protección contra la destrucción de pila, vacío de símbolo, ofuscación de código, divulgación de ruta, detección de evasión, entre otros, están todos agrupados en esta categoría. En este estudio, identificamos una cantidad alarmante de aplicaciones que no implementaban estas protecciones de seguridad fáciles de usar. Las diez categorías móviles principales de OWASP: M10: falta de protecciones binarias El 75% no usan técnicas de cifrado adecuadas al almacenar datos en un dispositivo móvil Almacenamiento inseguro de datos Cualquier dato almacenado accesible desde una aplicación móvil puede convertirse en un objetivo si los datos se almacenan sin cifrado. Dichos datos incluyen contraseñas, información personal, llaves de sesión, documentos, registros de chats, fotos, etc. La mayoría de los consumidores piensan que los datos están protegidos por su número de pin, pero esa es una presunción falsa. Este 75% representa los datos accesibles para cualquiera que tenga en su poder un teléfono desbloqueado encendido. Los datos no cifrados que un atacante puede ver y usar con fines maliciosos pueden violar muchas políticas en el gobierno de una corporación, además de poner en riesgo la reputación de la empresa si se filtran secretos comerciales confidenciales a competidores o a los medios. La cruda realidad es que perder el teléfono es sinónimo de perder sus datos de gran valor. Las diez categorías móviles principales de OWASP: M2: almacenamiento inseguro de datos y M4: filtración imprevista de datos Seguridad de transporte El 18% enviaban nombres de usuario y contraseñas a través de HTTP, mientras que otro 18% implementaba SSL/ HTTPS en forma incorrecta Descubrimos que demasiadas aplicaciones móviles transportaban información, como contraseñas y datos de registro, a través de HTTP. Este es un proceso muy inseguro, agravado todavía más por el hecho que estas credenciales no son sólo para la aplicación móvil, sino que muchas veces también son usadas por sus contrapartes en la aplicación web. No sólo las credenciales de la aplicación en sí estaban en riesgo, sino que muchos sitios de medios sociales con los que se integraban solían usar el punto de referencia HTTP de los sitios sociales en lugar de usar el de HTTPS. Qué significa esto? Cualquier persona con mala intención que se encuentre en su misma red (piense en un café, WiFi del trabajo, aeropuerto o cualquier servidor entre usted y el sitio web muy lejano) puede husmear sus datos. Lo que es todavía más interesante es que muchas de las que sí usaban SSL/HTTPS se las arreglaban para hacerlo en forma incorrecta, generando vulnerabilidades de certificaciones que hacían que fuera igual de posible perpetrar un ataque mediado por un hombre como en el escenario que antecede. Las diez categorías móviles principales de OWASP: M3: protección de capa de transporte insuficiente 5

6 Pobres controles del lado del servidor El 71% de las vulnerabilidades residían en el servidor web Creemos sinceramente que el ritmo y el costo del desarrollo en el espacio móvil ha obstaculizado los esfuerzos de seguridad. Como comunidad (especialmente organizaciones como OWASP), hemos luchado contra las vulnerabilidades basadas en la red durante los últimos quince años. Con el advenimiento de la flexibilidad móvil, hemos perdido de vista el hecho de que estas aplicaciones móviles tienen backends web. Olvidamos que estos servidores también necesitan que prestemos atención a la seguridad y, en consecuencia, vemos cómo los defectos más críticos aparecen en los servicios web/sitios/api de estos móviles. También observamos un resurgimiento de la falta de conocimiento en todo lo relacionado con el servicio web o la seguridad de API, lo que creemos que está asociado con el uso de marcos de trabajo o tiendas de desarrollo sin incentivos de seguridad. Las diez categorías móviles principales de OWASP: M1: pobres controles del lado del servidor Conclusión Tal como estas estadísticas demuestran, la seguridad de la aplicación móvil todavía se encuentra dando sus primeros pasos. Al igual que en el caso de sus contrapartes web, primero viene la tecnología y después la seguridad. Sin embargo, hay algunas medidas que las organizaciones pueden tomar de inmediato para alcanzar el ritmo de la innovación. Analice sus aplicaciones Esto es importante por una serie de motivos. Primero, es fácil de implementar. Cuando no cuenta con un programa de seguridad, es este el lugar dónde debe empezar. En segundo lugar, el análisis automático lanza una red amplia, que es necesaria cuando se están cometiendo errores de seguridad de aplicaciones móviles tanto simples como complejos. Las soluciones de análisis automático pueden entregar muchas más pruebas en un marco de tiempo mucho más corto que lo que se puede esperar de un ser humano. Por último, las soluciones de análisis automático cuentan con conocimiento técnico de seguridad integrado, algo que las empresas no siempre pueden adquirir con facilidad. Implemente una prueba de penetración Por diseño, los escáneres de seguridad buscan tantas vulnerabilidades como sea posible. Eso de hecho genera falsos positivos, o aparecen cosas que no son realmente vulnerabilidades. Esa es sencillamente la naturaleza de los escáneres, y una conducta mucho más preferida que Falsos negativos (pasar una vulnerabilidad existente por alto completamente). Las pruebas de penetración ayudan a separar la paja del trigo de las soluciones de análisis automáticas. Al revisar los resultados manualmente y examinar los hallazgos "interesantes" con una profundidad que los escáneres automáticos no pueden igualar, las pruebas de penetración brindan descubrimientos comprobados y resultados mucho más confiables. Asimismo, muchas vulnerabilidades de bajo nivel son "trampolines" para escalar métodos de ataque. Los evaluadores de penetración pueden determinar rápidamente si las vulnerabilidades identificadas por los escáneres son realmente de bajo nivel o si necesitan de atención inmediata. Adopte un enfoque de ciclo de vida de desarrollo de codificación segura (SDLC) Hay varios enfoques que buscan brindar "protección" en torno a las vulnerabilidades de la aplicación móvil, tal como Mobile Device Management (MDM), Mobile Application Management (MAM), Mobile Information Management (MIM), etc. Sin embargo, la única solución real es encontrar y reparar los problemas en el código mismo. Estas soluciones pueden constituir una capa de defensa adicional, seguramente, pero bajo ningún concepto deben utilizarse en el lugar de la solución de problemas subyacentes. Si bien la implementación de prácticas de codificación segura es lo que más tiempo lleva, este paso es el que en última instancia da más frutos. En resumidas cuentas, es exponencialmente menos costoso integrar la seguridad en el proceso de desarrollo que agregarla en aplicaciones móviles que ya se encuentran en producción. En última instancia, se trata de incorporar la seguridad en el proceso y no de agregarla al final. 6

7 Metodología El análisis realizado en este estudio presentó tecnologías nuevas creadas por ingenieros de Fortify on Demand para evaluar rápidamente la posición de seguridad de una aplicación móvil. Este motor de análisis binario y dinámico automático es utilizado en Fortify on Demand Mobile. FoD Mobile está diseñado para brindar a las corporaciones una mirada sobre los defectos de seguridad y privacidad de cualquier aplicación móvil, siempre con un costo bajo, en menos tiempo y sin necesidad de un código fuente. Ya sea que cuenta con una aplicación nueva que desarrolló, una aplicación contratada o una aplicación que está analizando admitir en su organización, FoD Mobile le brinda información para tomar decisiones de seguridad en forma rápida y sencilla. Los datos sondeados para el estudio sólo utilizaron un subconjunto de datos recopilados de FoD Mobile. Hallazgos como la inyección SQL, detalles específicos de archivos que usan un cifrado malo, inicio de sesión peligroso, varias vulnerabilidades de caché, vulnerabilidades de comunicación entre aplicaciones, filtrado de Unique Device Identifier (UDID), mala implementación de criptografía, entre otros, se retuvieron a fin de no revelar defectos notorios de seguridad específicos. Si bien el alcance de la tecnología FoD Mobile es principalmente en función del cliente, Fortify on Demand usó sus datos de Evaluación Premium de 2013 para realizar análisis estadísticos sobre problemas del lado del servidor móvil. Las evaluaciones móviles premium ofrecen una mirada en profundidad del código fuente, la ejecución de aplicaciones y los dominios de servidor web. Este nivel de servicio es similar a la evaluación de penetración manual y es impulsado por algunas de las mentes más brillantes en cuestiones de seguridad móvil de la industria. Obtenga más información en hp.com/go/fortifymobile Suscríbase para recibir actualizaciones hp.com/go/getupdated Share with colleagues Rate this document Copyright 2014 Hewlett-Packard Development Company, L.P. La información que contiene este documento está sujeta a cambios sin previo aviso. Las únicas garantías para los productos y servicios HP se establecen en las declaraciones expresas de garantía que acompañan a dichos productos y servicios. Ninguna información contenida en este documento debe interpretarse como una garantía adicional. HP no se hará responsable de errores técnicos o de edición ni de omisiones contenidas en el presente documento. 4AA5-1057SPL, febrero de 2014 This is an HP Indigo digital print.