Este documento presenta una introducción a OWASP y su Proyecto OWASP Top 10 Mobile Risk. Se revisan los 10 principales riesgos de seguridad en aplicaciones móviles, incluyendo plataformas mal utilizadas, almacenamiento inseguro de datos, comunicaciones inseguras, autenticación insegura, criptografía insuficiente, autorización insegura, código de baja calidad, modificación de código, ingeniería inversa y funcionalidades extrañas. Se mencionan ejemplos de casos reales y recomendaciones
4. Agenda
• ¿Qué es OWASP?
• ¿Qué es el Proyecto OWASP Top 10 Mobile Risk?
• Revisión de los 10 Riesgos de las aplicaciones móviles.
• Referencias de casos reales.
• Recomendaciones de solución.
¿QUESTIONS?
#MobileBelatrix
10. M1. Plataforma Mal Utilizada
Las plataformas móviles tienen múltiples características de
seguridad. Sin embargo, suelen ser mal utilizadas u obviadas
durante el proceso de desarrollo de aplicaciones de forma no
intencionada o intencional.
¿QUESTIONS?
#MobileBelatrix
11.
12.
13. M2. Almacenamiento Inseguro de Datos
Las aplicaciones almacenan datos personales y sensibles de
forma local y en texto plano o cifrados de forma débil.
Las herramientas forenses o malware instalado pueden
acceder a estos datos.
¿QUESTIONS?
#MobileBelatrix
14.
15.
16.
17. M3. Comunicación Insegura
Las comunicaciones aplicación-servidor suelen ser poco
protegidas mediante protocolos inseguros que exponen los
datos sensibles a ser robados mientras son transmitidos.
¿QUESTIONS?
#MobileBelatrix
18.
19.
20.
21. M4. Autenticación Insegura
Los controles asociados a la autenticación son especialmente
deficientes en las aplicaciones móviles y suelen permitir
acceso a funciones criticas de forma anónima sin dejar
registros.
¿QUESTIONS?
#MobileBelatrix
24. M5. Criptografía Insuficiente
Muchas aplicaciones utilizan algoritmos criptográficos con
debilidades conocidas, desarrollan su propia criptografía o
no protegen adecuadamente las llaves de cifrado.
¿QUESTIONS?
#MobileBelatrix
25.
26.
27. M6. Autorización Insegura
Muchas funcionalidades embebidas o en línea diseñadas para
usuarios privilegiados permiten su uso por usuarios poco
privilegiados debido a errores de autorización.
¿QUESTIONS?
#MobileBelatrix
28.
29.
30.
31. M7. Código de Baja Calidad
Son muy comunes las aplicaciones que poseen malas prácticas
de programación que provocan exposición de datos sensibles en
memoria, buffer overflows, etc.
¿QUESTIONS?
#MobileBelatrix
32.
33.
34.
35.
36. M8. Tampering de Código
Casi la totalidad de las aplicaciones no implementan proteccion
es ante modificaciones de binarios, recursos locales, valores en
memoria, llamadas a sistema, etc.
¿QUESTIONS?
#MobileBelatrix
42. M9. Ingeniería Inversa
La ingeniería inversa permite conocer el funcionamiento interno
de la aplicación, librerías, código fuente, algoritmos propietarios
y llaves de cifrado embebidas.
¿QUESTIONS?
#MobileBelatrix