Este documento discute las amenazas y vulnerabilidades de seguridad en aplicaciones móviles. Más de 2 mil millones de personas usan teléfonos móviles y se descargan 197 mil millones de aplicaciones cada año, por lo que es crucial proteger las aplicaciones de malware, vulnerabilidades y otras amenazas como la filtración de datos. El análisis de más de 10 millones de aplicaciones encontró más de 80 millones de vulnerabilidades graves y 1 millón de aplicaciones inseguras en categorías que manejan información sensible. Se destacan varios tipos
1. ¿Seguro que son Seguras?
Visión de amenazas y vulnerabilidades móviles
2. El móvil lo ha cambiado todo…
2,1 millardos de
móviles actualmente
197 millardos de Apps
descargadas en 2017
> 50% comercio retail
fuente: statista.com
3. El móvil lo ha cambiado todo…
Mas de 5 Millones
Apps en markets
9K
Apps publicadas
diariamente
Versiones vulnerables
Trojans
Adware
Ransomware
6. Visión 360
Los investigadores y Red Teams deben contar con las herramientas de análisis que permitan detectar
diferentes formas de amenazas basadas en Apps como
Aplicaciones vulnerables
Malware
App Tampering
Spyware Adware agresivo
Suplantación de marca
Exfiltración de información
Phishing
…
8. Algunos datos…
10MM
80MM
1MMCredenciales, parámetros codificados, Webview…
1 millón vulnerabilidades de severidad alta
Se han detectado 80 millones de vulnerabilidades
El análisis se ha realizado sobre unos 10MM de Apps
12. Vulnerabilidades destacadas
Almacenamiento de Datos y Privacidad
Parámetros sensibles incluidos en URLs.
Exposición de ficheros criptográficos.
Exposición de tokens privados o IDs.
Comunicación de Red
Comunicación no cifrada y HTTP.
Problemas en la validación del certificado SSL
Conexiones inseguras por certificados no confiables, TLS obsoleto, …
Criptografía
Certificado autofirmado
Algoritmo de Firma de Certificado Inseguro
Esquema de firma de aplicación vulnerable
Configuración de ensamblado
Modo 'Debug' habilitado
Uso innecesario del permiso 'Access Mock Location'
Calidad del código
Vulnerabilidades XSS debidos a WebView
Carga dinámica de código
Funciones de números aleatorios inseguras
Borrado inseguro de fichero
Reputación
Email del desarrollador comprometido.
Direcciones de e-mails en el código.
Carga dinámica de código
Uso de Plataforma Inapropiado
Modo 'Backup' habilitado
Componentes exportados en la aplicación
Servicio con 'intent' implícito
Con las mas de 5M de aplicaciones, con 2-3k nuevas aplicaciones cada día, la detección rápida de nuevas amenazas en Apps no es tan fácil con las herramientas tradicionales. Los atacantes pueden (y lo consiguen) derrotar las técnicas de detección tradicionales de malware.
“Su negocio” está crear malware lo más rentable posible, lo cual es muy exigente. Mantener la tasa de infección y estar un paso por delante de las compañías AV resulta ser un trabajo duro que debe optimizarse. La optimización requiere repetir y reutilizar, y precisamente en este proceso es donde pueden repetir patrones y cometer errores.
links:/http:\/\/[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\/.*/ AND origin:GooglePlay
links:*user=*pass* AND origin:GooglePlay
vulnerabilityName:CryptographicDangerousFileLeaks and origin:GooglePlay
nVCritical:"1 - 10"
nVCritical:"1 - 10" AND title:bible
title:linterna AND -permissionName:*FLASH* AND origin:GooglePlay
permissionName:*SYSTEM_ALERT_WINDOW* permissionName:*SMS* links:/.*\.ru.*/ size:"1M +4M" origin:GooglePlay
LEGO® Marvel™ Super Heroes hACK android apk download
Los atacantes no buscan un buen UX ni fidelizar usuarios
Una gran proporción de las app mobiles contienen publicidad, esto se consigue a través de los Ad Networks