Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top 10



Documentos relacionados
In-seguridad y malware en dispositivos móviles

Buenas Prácticas de Seguridad en el uso de dispositivos móviles. Alfredo Aranguren Tarazona, CISSP, CISA, CISM

Sistemas de seguridad en redes inalámbricas: WEP, WAP y WAP2

Riesgos, seguridad y medidas de protección para dispositivos móviles

Guía de doble autenticación

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Seguridad en los Dispositivos Móviles. <Nombre> <Institución> < >

Ataques XSS en Aplicaciones Web

Dispositivos móviles y riesgos de seguridad

Seguridad en la banca electrónica. <Nombre> <Institución> < >

GUÍA DE CONFIGURACIÓN DE TERMINALES MÓVILES

Cifrado de la información. Guía corporativa

Seguridad en Smartphones

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

Agenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar

1. Quién es Forware? Cronología Tecnologías Anti-fuga de Forware Solución Forware AntiLeak Suite 4

QUE ES COMLINE MENSAJES? QUE TIPO DE MENSAJES PROCESA COMLINE MENSAJES?

este paso solamente se realiza una vez por equipo inalámbrico que utilice el usuario

backup Drive

UNIVERSIDAD BM MANUAL GESTIÓN MÓVIL CON BLUEFORMS: BUENAS PRÁCTICAS

Servicios de Seguridad de la Información

Tener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos:

Banca Móvil, sus Riesgos y Medidas de Seguridad, dentro del nuevo modelo de servicios financieros

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.

POLÍTICA DE PRIVACIDAD DEL SITIO WEB DE KARDAMILI. Lineamientos generales

Servicios desde la nube: Seguridad gestionada de dispositivos móviles, una ayuda a la movilidad en el entorno de trabajo

Retos de seguridad en banca móvil

Problemas de seguridad en los smartphones

Almacenamiento virtual de sitios web HOSTS VIRTUALES

Resumen del trabajo sobre DNSSEC

Información sobre seguridad

Eagle e Center. Tel Bogotá Colombia. estadístico que genera reportes gráficos y consolidados de esta información.

QUÉ ES BAJO LLAVE? POR QUÉ SER CLIENTE DE BAJO LLAVE?

Introducción a aplicaciones Web. Laboratorio de Programación Lorena Castañeda Bueno

KeyMaker, Token Security System, Rel 1.16

Información sobre seguridad

CCTV-WIFI VEHICULAR QUASAR - CW4G

Guía de seguridad informática Buenas prácticas para el Nuevo Año

Transport Layer Security (TLS) Acerca de TLS

MANUAL DE AYUDA WEB SAT GOTELGEST.NET

MOBILE BUSINESS INTELLIGENCE

APPS PARA LA LOGISTICA. Qué es realmente una app? En qué se diferencia de otras soluciones web?

Sistema de marketing de proximidad

Univ. de Concepción del Uruguay Facultad de Ciencias Agrarias Ingeniería Agrónoma

Guía de usuario CUBO TI

QUE ES GPS? Los dispositivos de DTrack utilizan GSM y GPRS para el envío de dicha información

CONFIGURACIÓN PARA CORREO ELECTRÓNICO SEGURO CON MOZILLA

Guía de Apoyo Project Web Access. (Jefe de Proyectos)


Un sistema adecuadamente refrigerado debe mantener una temperatura de grados.

Curso de HTML5 y CSS3

Comprobada. Confiable.

Manual de iniciación a

Recomendaciones de Seguridad Red Social Twitter

Autenticación ultrarresistente para proteger el acceso a la red y la información corporativa

Anexos Remotos para Lyric MG.

Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado

Manual de Acceso Remoto al Portal Timbó. Montevideo 2011

Instalación y uso de las aplicaciones del evento IX FÓRUM AUSAPE 2013 ios & Android

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

Seguridad del Protocolo HTTP

La única plataforma de autenticación que necesita.

Seguridad en Dispositivos Móviles en

FIRMA ELECTRÓNICA EN EL MINISTERIO DE EMPLEO Y SEGURIDAD SOCIAL SITUACIÓN PRESENTE Y FUTUROS DESARROLLOS

TEMA 1 Modelo OSI de Seguridad

Vulnerabilidad de Phishing en Sitios Bancarios en Argentina

Servicios ios. Sesión 2: icloud y Notificaciones push. Experto en Desarrollo de Aplicaciones para Dispositivos Móviles

Una plataforma de préstamo y lectura de libros electrónicos para las Bibliotecas

Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation

Seguridad y cumplimiento normativo en el uso de dispositivos corporativos

Guía de Seguridad en Redes Inalámbricas

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

CABLE & WIRELESS PANAMA PREGUNTAS FRECUENTES PLAN DATA MÓVIL MAIL

La autenticación fuerte: Un requisito indispensable para el uso nómada de las TIC T13:Uso nómada de las TIC

WordPress para e-commerce. Friday, October 25, 13

Notas técnicas Tips de SAP Netweaver ABAP JAVA

DocuWare Mobile Product Info. Gestión documental móvil. Ventajas

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com

MANUAL DE ACCESO A TU CUENTA DE CLARO A TRAVES DE LA WEB

1. Qué es Escudo Movistar para móviles?

Guía de Usuario (Outlook)

Servicios remotos de Xerox Un paso en la dirección correcta

LA FORMA MÁS SEGURA DE CONECTARTE A TU EMPRESA

Servicio de consulta 121 Interfaz personalizable Adaptación por industria vertical Equipo interno de desarrollo

ACTIVIDAD TRABAJO COLABORATIVO I CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES

Ingreso a Sugese en Línea. Guía General. Sugese en Línea

Manual de Configuración WI-FI Alumnos UTP

Guía General Central Directo

Manual Terabox. Manual del usuario. Versión Telefónica. Todos los derechos reservados.

Javier Bastarrica Lacalle Auditoria Informática.

BUENAS PRÁCTICAS PARA EL USO DE BLUE FORMS

Mantiene la VPN protegida

Vulnerabilidades de los sistemas informáticos

Bóveda. Fiscal.

MIGRAR LA SEGURIDAD DEL A LA NUBE. pandasecurity.com


Escudo Movistar Guía Rápida de Instalación Dispositivos Symbian

365 días al año, 24 horas al día

Requisitos de control de proveedores externos

Transcripción:

Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top Mauro Flores mauflores@deloitte.com mauro_fcib UySeg

Modelo de Amenazas (Threat Model)

Mobile Top La Lista 1 Almacenamiento Inseguro Manejo Inadecuado de Sesiones Errores en controles en el servidor Acciones de seguridad vía entradas inseguras Transmisión insegura de datos Side Channel Data Leakage Inyección del lado del cliente Errores de Cifrado Autenticación y Autorización débil Fuga de información Personal

Mobile Top La Lista 1 Almacenamiento Inseguro Manejo Inadecuado de Sesiones Errores en controles en el servidor Acciones de seguridad vía entradas inseguras Transmisión insegura de datos Side Channel Data Leakage Inyección del lado del cliente Errores de Cifrado Autenticación y Autorización débil Fuga de información Personal

Almacenamiento inseguro y Fuga de información 1 Qué tipos de datos almacenamos? Agenda de contactos y citas Fotos personales Credenciales de autenticación (mail, Facebook, Twitter, etc) Información de trabajo (correos, planillas, documentos, archivos, etc) Cookies de sesión Archivos temporales de navegación (caché) GPS

Almacenamiento inseguro y Fuga de información 1 Cuál es el problema con todo esto? No es común que cifremos los datos Otras vulnerabilidades en los distintos protocolos de transferencia usados (Bluetooth, NFC, QR, etc) Robo o extravío Soporte técnico

Errores en controles en el servidor 1 http://www.owasp.org/images///cloud-top-security-risks.pdf https://www.owasp.org/index.php/category:owasp_top_ten_project

Transmisión insegura de datos 1 Conexión a redes WiFi. Sincronización automática enviando token. Algunas aplicaciones móviles, no cifran la comunicación con el server: Twitter Facebook WhatsApp Tecnología NFC no cifra, hay que encapsular por SSL Ausencia de cifrado en la transmisión de datos (ej: HTTP, SMS, etc) Confiar demasiado en la red celular (Rouge Cell Base) Ataques al navegador, vulnerabilidad SSL Algoritmos débiles de cifrado Certificados no confiables (ignorando alerta) Ataque a DigiNotar y Comodo

Inyección del lado del cliente 1 Al igual que en el mundo web Ejecución de código en los navegadores Nuevas opciones Abuso del tag tel: QR Codes WAP push SMS

Autenticación débil 1 Depender de valor fijos y que pueden comprometerse (ej: IMEI, IMSI y UUID) Identificadores de hardware persisten a los resets Out-of-band no es efectiva si todo sale del mismo dispositivo.

Algunas recomendaciones En lo posible, no almacenar información sensible en celulares, tablets, etc. No conectarse a redes WiFi no cifradas Estos dispositivos son personales, hay que mantenerlos con uno y cuidarlos (VALOR = COSTO DISPOSITIVO + INFORMACIÓN) Tener cuidado con las aplicaciones que se instalen, verificar que estén firmadas y validar la AppStore. Verificar certificados Desarrollar aplicaciones siguiendo las mejores prácticas, basarse en las guías de OWASP, hacer pruebas de seguridad de las aplicaciones y los dispositivos 11

Conclusiones A los dispositivos móviles, se les dá mas confianza de la que merecen, cuando debería ser todo lo contrario El celular es un ambiente dinámico y como tal hay que incorporar medidas extras de seguridad La gente es más propensa a instalar aplicaciones curiosas, sin importar su procedencia El celular es un punto de acceso a la información de nuestras vidas, y está muy expuesto Esta película, ya la vimos 1

Conclusiones debemos cambiarle el final! Hay que usarlo con conciencia Considerar las vulnerabilidades comunes para otras plataformas y trasladar los mecanismos de protección al mundo móvil El desarrollo debe considerar medidas extras de seguridad para estos dispositivos 1

Links de referencia Proyecto OWASP https://www.owasp.org/index.php/main_page OWASP Mobile Security Project : https://www.owasp.org/index.php/owasp_mobile_security_project NIST Gui de to bluetooth security : http://csrc.nist.gov/publications/nistpubs/00-11/sp00-11.pdf NIST Cell Phone and PDA Security http://csrc.nist.gov/publications/nistpubs/00-1/sp00-1.pdf 1

Mauro Flores mauflores@deloitte.com mauro_fcib UySeg 1

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback