Este documento presenta un resumen de tres oraciones sobre los aspectos de seguridad en aplicaciones móviles. Explica que las aplicaciones móviles tienen acceso a datos sensibles y servicios a través de Internet, por lo que deben analizarse para verificar su seguridad. Describe los métodos de análisis estático y dinámico utilizando herramientas como MobSF para evaluar posibles vulnerabilidades en el código, permisos y tráfico de red de una aplicación. Concluye que invertir en análisis de seguridad de aplicaciones es

1. Análisis de aplicaciones móviles -
aspectos de seguridad.
Enrique G. Dutra
2020 – V Edición

2. 2
Enrique “Quique” Dutra
www.argentesting.com
• Socio Gerente de Punto Net Soluciones SRL (empresa de 20 años)
• MVP desde 2006, actualmente MVP Cloud and Datacenter
Management 2019-2020.
• Auditor Lider ISO/IEC 27001 por BSI.
• 32 años de experiencia en Seguridad de la Información/ Informática.
• Responsable del área de Seguridad en compañías que han tercerizado
el servicio en Punto Net Soluciones SRL.
• Lidera equipo que realiza unos 500 test de vulnerabilidad anuales.
• Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT,
Evaluador Norma ISO/IEC 27005 y 27103.
• Instructor en CPCIPC de la ESAPI.
• Perito/Analista Forense.
• Disertante en eventos en LATAM (BRA-UY-PER-ARG).
• Lidera área Q&A de Seguridad en app moviles.
• Twitter: @egdutra / @puntonetsol
• Linkedin : https://www.linkedin.com/in/enriquedutra/
• http: www.puntonetsoluciones.com.ar

3. AGENDA
•Problemática actual
•Arquitectura Android
•Metodología de evaluación de software
•OWASP
• Metodología.
• Análisis estático vs dinámico.
• Herramientas y soluciones.

4. Situación actual
Exposición de los servicios y datos a Internet.
2020 – V Edición

5. 60 segundos….

6. De la PC al Celular

7. Celulares y las aplicaciones
• Siempre hay una aplicación que sirve para una situación.
• No se analiza que hace la aplicación.
• No se revisa los permisos que nos pide la aplicación.
• La aplicación pide usuario y contraseña y la integran con alguna red
social.
• No hacen backup de los datos.
• Envían y reciben datos sensibles.
• Hay dispositivos que no poseen patrones o pines de acceso.
• Acceso a las aplicaciones, redes sociales, correos, sin pedir un dato
que valide el usuario.
El usuario confía ciegamente en la aplicación y NO
analiza los riesgos de su uso.

8. Aplicaciones Infectadas en 2019
https://blogs.quickheal.com/quick-heal-reports-29-malicious-apps-10-million-downloads-google-play-store/

9. Nomofobia: miedo de perder el celular
77% de las personas que posee un teléfono inteligente padece 'nomofobia'

10. Desarrollos sin el estado de “seguro”
✓Framework desarrollo instalado en producción.
✓Ausencia de ambientes desarrollo / testing.
✓Ausencia de validaciones en formularios Web.
✓Fallas en validación/auntenticación.
✓Software con ”hardcode”.
✓Ausencia de conexión cifradas.
✓Configuración Web permite SQL Injection.
✓Usuarios de prueba en producción.
✓Base de datos sin protección o semilla.
✓Datos sensibles en base de datos :
✓Ley 25326 Rep. Arg.,
✓HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance
Portability and Accountability Act, HIPAA),
✓PCI-DSS,
✓Otros.
Una oportunidad para
analizar las aplicaciones, es
testear si el
comportamiento de la
aplicación califica como
aplicación segura.

11. Arquitectura Android
Plataforma con mayor difusión
2020 – V Edición

12. Distribución de Android
Android es un sistema operativo móvil desarrollado por Google, basado en Kernel de Linux y otros software
de código abierto

13. Arquitectura Android

14. Android : Algunos puntos débiles.
• Podemos vulnerar el S.O sin ser root.
• Aplicaciones con permisos elevados.
• Aplicaciones alojan información en sectores si protección.
• Vulnerabilidades del S.O.
• Antimalware ponen pesados los S.O. y no lo instalan.
• Fácil integración con dispositivos de terceros. Facilidad de uso +
Facilidad de configuración.
• Acceso a códigos fuentes de aplicaciones de dudosa reputación. (Ej.:
https://github.com/).

15. Evaluando una aplicación móvil
Apostar a la calidad de seguro también es calidad.
2020 – V Edición

16. Análisis aplicaciones móviles
✓Análisis estático.
✓Análisis dinámico.
✓Análisis tráfico de red.
Desarrollo Área Seguridad
Analizar aplicaciones
desarrolladas internamente
o por terceros
Analizar aplicaciones
adquiridas por la compañía
AMBITO DE APLICACION

17. Análisis estático

18. Análisis dinámico

19. ¿Cómo podemos testear?
• No hay presupuesto no es una excusa.
• OWASP provee metodología de evaluación. VER PLANILLA.
• Uso de herramientas Open-Source:
• MobSF
• Qark
• Mara
• Drozer

20. MobSF
✓ Información del archivo
✓ Información de la aplicación
✓ Posibles elementos vulnerables
✓ Naturaleza del código
✓ Análisis del código decompilado
✓ Información del certificado
✓ Listado de permisos
✓ Extras de seguridad
DEMO

21. 21
Apostar a la calidad de
Seguridad también es calidad.

22. Enrique G.Dutra
edutra@puntonetsoluciones.com.ar
@egdutra
¿Consultas?