3. Vulnerabilidades en Dispositivos Móviles
Marco de Referencia
Los SmartPhone son más jóvenes
que los PC, y nunca se desconectan
de la internet!!!
Cada día se descubren nuevas
vulnerabilidades que afectan a
dispositivos móviles
Los usuarios casi siempre confían
en las aplicaciones descargadas y/o
en los sitios web que navegan
14. 10: Falta de protecciones en binarios
El código binario de una aplicación puede ser analizado mediante
técnicas de ingeniería inversa, bien sea para copiar el código y
usarlo en una aplicación diferente, o para modificarlo y activar
funcionalidades ocultas al usuario.
Agente de ataque Específico de aplicación
Vector de ataque Explotabilidad media
Debilidades de seguridad
Prevalencia común
Fácil detectabilidad
Impactos técnicos Impacto severo
Impactos en negocios
Específico para aplicación y
negocios
Owasp Top 10 de Riesgos en
Dispositivos Móviles
15. En que Consiste?
1. Software en ambiente no confiable es expuesto a
ser analizado con métodos de ingeniería inversa,
modificado y aprovechado por atacantes.
2. Los atacantes pueden acceder directamente al
código en binario de la aplicación y comprometer
su integridad con varias herramientas y técnicas.
3. Los atacantes pueden generar pérdida de marca,
de ganancias o de propiedad intelectual a través de
ingeniería reversa.
10: Falta de protecciones en
binarios
16. Posibles Resultados:
1. Compromete (deshabilita, evade) controles de
seguridad como autenticación, encripción, manejo
y revisión de licencias, DRM.
2. Exposición de información sensible de la
aplicación, como llaves, certificados, credenciales,
metadata.
3. Alteración de información crítica de negocio,
control de flujo y operaciones de programa.
10: Falta de protecciones en binarios
Owasp Top 10 de Riesgos en
Dispositivos Móviles
17. Owasp Top 10 de Riesgos en
Dispositivos Móviles
https://www.arxan.com/arxan-discovers-top-100-android-apps-hacked-in-2013-/
18. Owasp Top 10 de Riesgos en
Dispositivos Móviles
https://www.arxan.com/assets/1/7/State_of_Security_in_the_App_Economy_Infographic_Vol.2.pdf
19. ¿Qué persiguen los ciberdelincuentes?
• Evitar los controles de seguridad.
• Inyectar código malware, espía o publicitario.
• Re-empaquetado (robo de propiedad intelectual).
• Robar información de los usuarios.
10: Falta de protecciones en binarios
Owasp Top 10 de Riesgos en
Dispositivos Móviles
20. 9: Manejo Inadecuado de Sesión
Ocurre cuando el token de sesión es compartido con el
atacante de manera no intencional.
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Agente de ataque Específico de aplicación
Vector de ataque Explotabilidad fácil
Debilidades de seguridad
Prevalencia común
Detectabilidad fácil
Impactos técnicos Impacto severo
Impactos en negocios Específico para aplicación y negocios
21. 9: Manejo Inadecuado de Sesión
Factores Agravantes:
Las sesiones de las aplicaciones móviles son generalmente,
mucho más largas en el tiempo.
¿Por qué? Por conveniencia y usabilidad.
Las Apps mantienen sesiones por medio de:
• Cookies HTTP.
• Tokens Oauth.
• Servicios de autenticación SSO (Single Sign On).
Mala Idea: “Usar identificadores del dispositivo como
identificador de sesión”.
Owasp Top 10 de Riesgos en
Dispositivos Móviles
22. 9: Manejo Inadecuado de Sesión
Que puede lograr el Ciberdelincuente:
• Escalamiento de privilegios.
• Acceso no autorizado.
• Evadir pagos y licenciamiento.
Owasp Top 10 de Riesgos en
Dispositivos Móviles
23. 9: Manejo Inadecuado de Sesión
Recomendaciones para Desarrolladores:
• No tema hacer que el usuario se re-autentique cada vez
que sea necesario.
• Asegure que los tokens puedan ser removidos
rápidamente en el suceso de una pérdida o de robo del
dispositivo.
• Utilice técnicas de generación de tokens de alta entropía.
Owasp Top 10 de Riesgos en
Dispositivos Móviles
24. Conceptos básicos del manejo de sesión
La web no tiene un manejo
de sesión standard. El ID
único es asignado e
intercambiado entre el
servidor y el buscador en
cada comando
GET/POST
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Una vez se ha autenticado la
sesión, la llave de sesión es tan
poderosa como un nombre de
usuario válido y su respectivo
password.
Por eso debe ser rigurosamente
protegida. Debe ser:
• Confidencial
• Aleatoria
• Impredecible
• Infalsificable
25. 9: Manejo Inadecuado de Sesión
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Session Fixation
26. 9: Manejo Inadecuado de Sesión
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Session Hijacking
27. 9: Manejo Inadecuado de Sesión
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Session Hijacking
28. 8: Tomar decisiones de seguridad
partiendo de entradas no confiables
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Agente de ataque Específico de aplicación
Vector de ataque Explotabilidad fácil
Debilidades de seguridad
Prevalencia común
Detectabilidad fácil
Impactos técnicos Impacto severo
Impactos en negocios Específico para aplicación y negocios
29. 8: Tomar decisiones de seguridad
partiendo de entradas no confiables
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Muchas veces los desarrolladores no validan o sanitizan el
input por parte del usuario.
El input del usuario se toma como base para ejecución de
procesos en aplicaciones; ej. Consultar una base de datos.
Múltiples vectores de ataque:
• Aplicaciones maliciosas.
• Inyección del lado del cliente.
30. 8: Tomar decisiones de seguridad
partiendo de entradas no confiables
Owasp Top 10 de Riesgos en
Dispositivos Móviles
31. 8: Tomar decisiones de seguridad
partiendo de entradas no confiables
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Recomendaciones al Desarrollador:
Revise los permisos del solicitante del servicio.
Pida al usuario información adicional antes de permitirle
usar el servicio.
En caso de que la revisión de permisos no pueda hacerse,
asegure los pasos adicionales necesarios para ejecutar
acciones sensibles.
32. 7: Inyección del lado del Cliente
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Se logra por la ejecución de código malicioso a través de la
aplicación en el dispositivo móvil.
Agente de ataque Específico de aplicación
Vector de ataque Explotabilidad fácil
Debilidades de
seguridad
Prevalencia común
Detectabilidad fácil
Impactos técnicos Impacto moderado
Impactos en negocios Específico para aplicación y negocios
33. 7: Inyección del lado del Cliente
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Las peticiones son enviadas por el atacante hacia el servidor
con el que interactúa la aplicación web. Estas peticiones
simulan la interacción con un usuario real, pero están
modificadas para explotar vulnerabilidades del lado del
servidor.
34. 7: Inyección del lado del Cliente
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Recomendaciones al Desarrollador:
• Sanitice o evada datos no confiables, antes de
ejecutarlos.
• Use sentencias predefinidas para llamados a la base de
datos. Concatenar cadenas de caracteres siempre será
mala idea.
• Minimizar las capacidades nativas sensibles relacionadas
con funcionalidades hibridas.
35. 6: Criptografía Rota
Owasp Top 10 de Riesgos en
Dispositivos Móviles
El atacante logra desencriptar código o información sensible
debido a la utilización de una encriptación débil o a
banderas en el proceso de encripción.
Agente de ataque Específico de aplicación
Vector de ataque Explotabilidad media
Debilidades de
seguridad
Prevalencia común
Detectabilidad fácil
Impactos técnicos Impacto severo
Impactos en negocios
Específico para aplicación y
negocios
36. 6: Criptografía Rota
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Un algoritmo de encripción débil
puede ser la puerta de entrada a
un ciberdelincuente para:
• Acceder a información sensible,
previamente encriptada.
• Hacer sniffing sobre una
comunicación “segura”.
• Acceder a contraseñas.
• etc.
37. 5: Autorización o autenticación pobres
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Un esquema de autenticación pobre o nulo permite que un atacante
pueda acceder fácilmente al dispositivo para robar información e incluso
ejecutar código malicioso. Del lado del servidor, permitiría tener acceso a
recursos e información no autorizadas.
Agente de ataque Específico de aplicación
Vector de ataque Explotabilidad fácil
Debilidades de
seguridad
Prevalencia común
Detectabilidad fácil
Impactos técnicos Impacto severo
Impactos en
negocios
Específico para aplicación y
negocios
38. 5: Autorización o autenticación pobres
Owasp Top 10 de Riesgos en
Dispositivos Móviles
• Algunas aplicaciones dependen solamente de valores
inmutables y potencialmente comprometibles; (IMEI,
IMSI, UUID)
• Lo identificadores de hardware persisten después de
limpieza de datos y reset de fábrica.
• Adicionar información contextual es útil, más no es a
prueba de errores.
• Esta vulnerabilidad puede conllevar a Escalamiento de
privilegios y Acceso no autorizado.
39. 5: Autorización o autenticación pobres
Owasp Top 10 de Riesgos en
Dispositivos Móviles
¿Qué tan malo es?
• La revelación de autenticación es común.
• Ataques de tipo MitM hacen viable la captura de
parámetros de autenticación, captura de sesión.
• Los sistemas móviles no ofrecen mejoras inherentes
sobre aplicaciones web.
40. 4: Fuga de datos no intencionada
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Se da cuando un desarrollador, inadvertidamente, coloca
información sensible en una ubicación a la que tienen
acceso libre otras aplicaciones.
Agente de ataque Específico de aplicación
Vector de ataque Explotabilidad fácil
Debilidades de
seguridad
Prevalencia común
Detectabilidad fácil
Impactos técnicos Impacto severo
Impactos en negocios
Específico para aplicación y
negocios
41. 4: Fuga de datos no intencionada
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Dentro de los datos sensibles no apropiadamente asegurados por
los desarrolladores están:
•Bases de datos no encriptadas.
•Guardar información sensible en archivos de “preferencias de usuarios”.
•Encriptar datos pero guardar la llave de encripción en archivos texto.
•Uso no apropiado del almacenamiento del sistema.
•Registrar información sensible en los archivos de log del dispositivo.
42. 4: Fuga de datos no intencionada
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Entre los datos sensibles guardados en el sistema
operativo del dispositivo se encuentran:
• Background screenshots (iOS).
• Información de caché, incluyendo la de los buscadores y
autocorrección.
• El portapapeles (cut/paste) del dispositivo.
43. 4: Fuga de datos no intencionada
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Desafortunadamente, los desarrolladores muy
pocas veces son conscientes de que el sistema
operativo del dispositivo almacena toda esta
información.
44. 3: Protección insuficiente en la capa de
transporte
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Un sniffer en la red inalámbrica o un malware dentro del
dispositivo móvil pueden rastrear los datos intercambiados
entre una aplicación y el servidor, si no está correctamente
implementada la seguridad en la transmisión.
Agente de ataque Específico de aplicación
Vector de ataque Explotabilidad difícil
Debilidades de
seguridad
Prevalencia común
Detectabilidad fácil
Impactos técnicos Impacto moderado
Impactos en
negocios
Específico para aplicación y
negocios
46. 3: Protección insuficiente en la capa de
transporte
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Factores:
• Completa falta de encripción para los datos transmitidos.
• Datos transmitidos con un nivel de encripción muy débil.
• Encripción fuerte, pero ignorando advertencias de seguridad.
• Ignorar errores de validación de certificados.
• Ataques Viables:
Ataques de hombre en el medio.
Falsificación de datos en tránsito.
Pérdida de confidencialidad de datos
47. 3: Protección insuficiente en la capa de
transporte
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Recomendaciones al Desarrollador y al Usuario:
Asegurarse de que todos los datos sensibles sean encriptados
previamente a su transmisión.
Esto incluye datos sobre redes corporativas, WiFi, e incluso
NFC.
Cuando una advertencia de seguridad es mostrada, es por
alguna razón… NO LA IGNORES.
48. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Se da cuando los equipos de desarrollo asumen
erróneamente que los usuarios o potencial malware no
tendrá acceso al filesystem del dispositivo.
Agente de ataque Específico de aplicación
Vector de ataque Explotabilidad fácil
Debilidades de
seguridad
Prevalencia común
Detectabilidad fácil
Impactos técnicos Impacto severo
Impactos en
negocios
Específico para aplicación y
negocios
49. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Datos sensibles quedan desprotegidos.
Aplica tanto para datos almacenados localmente como para
los que están sincronizados en nube.
Generalmente es el resultado de:
• Datos no encriptados.
• Almacenamiento en caché de datos que no están
concebidos para almacenamiento a largo plazo.
• Permisos globales o débiles.
50. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Ejemplo: Ubicación de archivos con datos sensibles de aplicaciones Android
51. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Ejemplo: Aplicación Android guarda el ID del dispositivo en texto plano.
52. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Ubicación de archivos sensibles en dispositivos iOS:
• Cache de aplicación:
~/Library/Application Support/iPhone Simulator/4.2/Applications/<app id>
• Cache de snapshots:
~/Library/Application Support/iPhone
Simulator/4.2/Applications/<app_id>/Library/Caches/Snapshots/
• Cache de archivos temporales (pdf, xls, doc, jpeg, etc.)
~/Library/Application Support/iPhone Simulator/4.2/Applications/<app id>/Documents/
• Cache del portapapeles
~/Library/Application Support/iPhone Simulator/4.2/Library/Caches/com.apple.UIKit.pboard
• Cache de tecleado:
~/Library/Application Support/iPhone Simulator/4.2/Library/Keyboard/dynamic-text.dat
53. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Tipos de archivos donde puede haber información sensible en
dispositivos iOS:
• Archivos de bases de datos – SQL Lite, .db
• Cookies binarias.
• Listas de propiedades (archivos .plist)
54. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Ejemplo: Aplicaciones iOS guardando contraseñas de administración en
texto plano.
55. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Ejemplo: Aplicaciones iOS guardando contraseñas de directorios activos.
56. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Ejemplo: Cookies binarias en iOS
57. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Ejemplo: Cookies binarias en iOS, pueden ser vistas con un editor
hexa.
58. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Ejemplo: Los archivos de listas de propiedades pueden ser vistos
con cualquier editor.
59. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Recomendaciones:
• Almacene datos SOLO si es
absolutamente necesario.
• Nunca utilice áreas de
almacenamiento público (por
ejemplo, la tarjeta SD)
• Hacer uso de contenedores
seguros y APIs de encripción.
• No conceda permisos de
escritura o lectura para otros
usuarios.
60. 2: Almacenamiento inseguro de datos
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Datos sensibles quedan desprotegidos.
Aplica tanto para datos almacenados localmente como para
los que están sincronizados en nube.
Generalmente es el resultado de:
• Datos no encriptados.
• Almacenamiento en caché de datos que no están
concebidos para almacenamiento a largo plazo.
• Permisos globales o débiles.
61. 1: Controles débiles del lado del servidor
Owasp Top 10 de Riesgos en
Dispositivos Móviles
El servidor utiliza un web service o un llamado a un API, el
cual está implementado usando técnicas de codificación no
seguras.
Agente de ataque Específico de aplicación
Vector de ataque Explotabilidad fácil
Debilidades de
seguridad
Prevalencia común
Detectabilidad fácil
Impactos técnicos Impacto severo
Impactos en
negocios
Específico para aplicación y
negocios
62. 1: Controles débiles del lado del servidor
Owasp Top 10 de Riesgos en
Dispositivos Móviles
•Aplica para servicios de backend.
•No es una vulnerabilidad de dispositivos móviles, por sí misma; pero
afecta los servicios de las aplicaciones móviles.
•“Aún no podemos confiar en el cliente”
•Es necesario revisar los controles existentes (ie- out of band comms)
Potencial impacto
Ø Perdida de la confidencialidad de los datos.
Ø Pérdida de confianza en la integridad de los datos.
63. 1: Controles débiles del lado del servidor
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Ejemplo de una aplicación para iPhone o Android
• La aplicación hace una petición SOAP simple (login).
• ¿Es la aplicación siempre el remitente?
64. 1: Controles débiles del lado del servidor
Owasp Top 10 de Riesgos en
Dispositivos Móviles
Ejemplo de una aplicación para iPhone o Android
• El servidor no solo está disponible para la aplicación.
• El atacante puede hacer una simple petición SOAP (Login)