El documento resume los 10 principales riesgos de seguridad móvil según OWASP, incluyendo almacenamiento inseguro, transmisión insegura de datos, fuga de información personal, autenticación débil, errores en asignación de privilegios, inyección del lado del cliente, denegación de servicio, código malicioso, desbordamiento de búfer y errores en controles del servidor. También ofrece algunas recomendaciones de seguridad para dispositivos móviles.

1. OWASP Mobile Top 10
Riesgos de Seguridad
Alberto Wilson Mauro Flores
alwilson@deloitte.com mauflores@deloitte.com
#GX2408

2. ¿De qué vamos a hablar?
• Un poco de contexto
• OWASP y sus proyectos
• El famoso Top 10
• Algunas recomendaciones
• Conclusiones
• ¿Preguntas?

3. UN POCO DE CONTEXTO

4. ¿Qué se está usando?
¿como viene evolucionando?
Microsoft, Otros, 3.3
3.6
Otros,
12.1
Microsoft,
Symbian,
12 iOS, 16.8 27.4
iOS, 2.7
RIM, Symbian, RIM, 12.9
9.6 63.5
Android, 36
Android, 0
2007 Segundo cuarto 2011
Unidades: 428.7 M
Fuente: Gartner

5. OWASP Y SUS PROYECTOS

6. ¿Qué es OWASP?
• Open Web Application Security Project
• Organización mundial, sin fines de lucro
• Busca promover la seguridad y generar conciencia
• En el 2010 se formó el Capítulo Uruguay

7. Proyectos
• Guía de desarrollo seguro y guía de revisión de código
• WebScarab, WebGoat, GoatDroid
• Top 10 Vulnerabilidades Web
• Metodología ASVS
• Top 10 Vulnerabilidades Disp. Móviles (Setiembre 2011)
• Y muchos mas…

8. EL TOP 10
VULNERABILIDADES EN DISPOSITIVOS MÓVILES

9. Top 10 - La lista
Almacenamiento Inyección del lado
1 inseguro 6 del cliente
Transmisión
2 insegura de datos 7 Denial of Service
Fuga de
3 información
personal
8 Código malicioso
Autenticación
4 débil 9 Buffer overflow
Errores en
Errores en asignación
5 de privilegios 10 controles del
servidor

10. Almacenamiento inseguro
1 ¿Qué almacenamos?
2
•Información personal, como si fuera un pendrive
3
4 •Archivos temporales de navegación, GPS, cachés
5
6 •Cookies de sesión
7
•Adjuntos de los mails, fotos
8
9 •¿Cual es el problema?
10

11. Almacenamiento inseguro
1 •Por lo general, no ciframos la información
2
•Vulnerabilidades en los distintos protocolos de
3
transferencia, Bluetooth
4
5 •El dispositivo puede caer en manos ajenas
6
7
8
9
10

12. Transmisión insegura de datos
1 • Básicamente, ausencia de cifrado en la transmisión
2 de los datos
3
•Vía HTTP, Correo, SMS, etc
4
5 •Confiar demasiado en la red celular
6
•Ataques al navegador, vulnerabilidades SSL
7
•Certificados no confiables
8 •Ataque a DigiNotar y Comodo
9
10

13. Transmisión insegura de datos
1 • Algunas aplicaciones de Android, no cifran la
2 comunicación con el server:
•Twitter
3
•Facebook
4 •Google Calendar
5 •Picasa
6
•Conexión a redes WiFi sin cifrar
7
8 • Tecnología NFC, en sí no cifra, hay que encapsular
9 por SSL, no es posible MiTM
10

14. Fuga de información personal
1 •Información personal almacenada:
2 •Agenda de contactos
•Citas
3
•Fotos (personas y documentos), archivos, etc.
4 •Lo mas riesgoso en este caso, es dejar el celular en
5 manos ajenas:
6 •Robo o extravío
•Soporte Técnico
7
•Para pasar música
8 • Se lo prestas al sobrino de un amigo para que
9 instale la última aplicación
10 •Backups sin proteger en alguna PC

15. Autenticación débil
1 •Fuerza bruta a claves débiles:
2
•PIN de la SIM
3
4 •Contraseñas de bloqueo
5
6 •Claves para conexiones Bluetooth
7
•Passphrases de cifrado
8
9 •Errores de implementación en mecanismos de
10 autenticación

16. Errores en asignación de privilegios
1 •Privilegios ajustados incorrectamente
2 •Por ejemplo sobre archivos
3
•Errores de implementación:
4 •En el sistema operativo
5 •En las aplicaciones
6
• Aplicaciones que requieren más privilegios de los
7
necesarios
8
9
10

17. Inyección del lado del cliente
1 •Al igual que en el mundo Web
2 •ejecución de código en los navegadores
3
•Aplicaciones vulnerables
4 •Pueden impactar en el servidor
5
6 •QRCodes
• Algunas aplicaciones dirigen al usuario
7
directamente
8 • Ataques de Phishing
9
10

18. Denial of Service
1 •QRCodes como vector de ataque
2
•Bluetooth
3
4 •Bruteforcing y bloqueo de dispositivo
5
6 • Compromiso del código de aplicaciones de
prevención de robo.
7
8
9
10

19. Código malicioso
1 AppStore de Tercero
2
3
4
5 Sube versión
con Malware Descarga
Desarrollo
6 Oficial Descarga
7
8 Envío de
9 Información
10

20. Código malicioso
1 •QRCodes como vector de ataque
2
•Problemas de certificados y MiTM
3
4 •Aplicaciones sin firmar
5
6 •Instalación manual de malware
7
•Servidor que distribuye aplicación comprometido
8
9
10

21. Buffer overflow
1 •Errores de implementación
2 •En el sistema operativo
•En las aplicaciones
3
4 • Se pueden comprometer archivos y recursos
5 internos del sistema
6
7
8
9
10

22. Errores en controles del servidor
1 •Validación del cliente por el servidor y viceversa
2
•Ataques MiTM
3
4 •Validación de la información enviada desde el
5 dispositivo movil
6
•Se puede comprometer el servidor
7
8
9
10

23. ALGUNAS RECOMENDACIONES

24. Algunas recomendaciones
En lo posible, no almacenar información sensible en celulares, tablets y
notebooks, no conectarse a redes WiFi no cifradas
Estos dispositivos son personales, hay que mantenerlos con uno y
cuidarlos (VALOR = COSTO DISPOSITIVO + INFORMACIÓN)
Tener cuidado con las aplicaciones que se instalen, verificar que estén
firmadas y validar la AppStore, verificar certificados
Desarrollar aplicaciones siguiendo las mejores prácticas, basarse en las
guías de OWASP, hacer pruebas de seguridad de las aplicaciones y los
dispositivos

25. CONCLUSIONES

26. Conclusiones
• A los dispositivos móviles, se les dá mas confianza de la que
merecen, cuando debería ser todo lo contrario
• El celular es un ambiente dinámico y como tal hay que
incorporar medidas extras de seguridad
• La gente es más propensa a instalar aplicaciones “curiosas”,
sin importar su procedencia
• El celular es un punto de acceso a la información de nuestras
vidas, y está muy expuesto
• Esta película, ya la vimos…

27. Conclusiones
• … debemos cambiarle el final!
• Hay que usarlo con conciencia
• Considerar las vulnerabilidades comunes para otras
plataformas y trasladar los mecanismos de protección al
mundo móvil
• El desarrollo debe considerar medidas extras de seguridad
para estos dispositivos

28. Cuanto más smart el
device, más smart
debemos ser
nosotros
”

29. Links de interés
Proyecto OWASP:
•https://www.owasp.org/index.php/Main_Page
OWASP “Mobile Security Project”:
•https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
Deloitte Uruguay
•http://www.deloitte.com/view/es_UY/uy/servicios/consultora/estrategiaoperaciones/index.htm
NIST – “Guide to bluetooth security”:
•http://csrc.nist.gov/publications/nistpubs/800-121/SP800-121.pdf
NIST – “Cell Phone and PDA Security”
•http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf
Vulnerabilidades en Google ClientLogin
•http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
WhisperSys – Framework de Seguridad para Android
•http://www.whispersys.com/

30. Mauro Flores
mauflores@deloitte.com
@mauro_fcib
Alberto Wilson ¡GRACIAS!
alwilson@deloitte.com
@v8vito
¿PREGUNTAS?
@DeloitteUYSeg