Evaluacion Diciembre 2017: Debilidades en APPs moviles NACIONALES
Muchas empresas contagiadas con la arrollante embestida del mundo móvil, decide entrar con aplicaciones móviles de todo tipo y sabor. Desde simples app informativas hasta sistemas de gestión o banca móvil.
Todo va bien, el entusiasmo por desarrollar apps móviles es impresionante, vemos muchos eventos promoviendo esto. Pero lamentablemente temas de Seguridad van por detrás. El optimismo de la gente hace que las preocupaciones y riesgos no sean parte del procesos de desarrollo sino hasta que las vulnerabilidades saltan.
Para demostrar este punto de la inseguridad, hemos realizado un relevamiento con 11 APKs compartidas en el Play STORE de google, todas bolivianas. Todas estas Apps pertenecen a entidades XXX-XXX (Censurado para no despertar a los GGX) y están en actual explotación con sistemas considerados sensibles.
Entendamos que la vulnerabilidad de una APP no solo expone el sistema de la Entidad XXX-XXX que la desarrollo. sino también expone los datos del usuario cliente. Casi todas las apps evaluadas consideramos no han tenido una evaluación de privilegios necesarios, sino en algunos casos como utilizan componentes de terceros, solicitan control de gps, wifi, micrófono, cámara, envio de sms y muchos mas. Al final uno se pregunta Por que tantos privilegios? estamos seguros y retamos a las entidades XXX-XXX que publiquen la justificación de esos privilegios.
Recordemos que un celular puede exponer:
- credenciales de acceso
- datos de ubicación por el gps,
- la conexión telefónica por las antenas, datos
- de los sensores (acelerómetro, giroscopio, podómetro y otros)
- mucho mas
Entonces la publicación de APPs debe ser mas controlada, sobre todo si el usuario asume que la seguridad esta siendo cubierta por la Entidad que la despliega en el play store.
Voy a ser redundante en el tema de que estar en los Store de aPPs no hace las mismas seguras. Google no se ocupa de ver cuan segura es la aplicación, siempre y cuando no este afectando a su ecosistema.
Algunas características genéricas de Las APK analizadas
- tienen entre 35mb y 2mb de tamaño
- Las Apps de mayor tamaño contienen mas cantidad de vulnerabilidades.
- Algunas tienen semanas de haber sido actualizadas y otras mas de un año de no Haber sido actualizadas
- Todas están el el Play store
- Solo una tenia controles para no ser montadas en un emulador
Se han evaluado 34 vulnerabilidades (OWASP mobile)
De esa cantidad se han encontrado 16 vulnerabilidades presentes en las App analizadas. En el cuadro siguiente exponemos las 16:
| File unsafe Delete Check |
| SSL Implementation Check - SSL Certificate Verification |
| Certificate Pinning |
| Using activities/improper export of android application activities |
| Fragment Vulnerability Check |
| Usage of Adb Backup |
| Usage of Native codes |
| Outputting Logs to logCat/ Logging Sensitive information |
| SQLite Journal Information Disclosure Vulnerability |
| WebView addJavascriptInterface Remote Code Execution |
| Usage of Root/Superuser Permission |
| Usage of Installer verification code |
| Executing "root" or System Privilege Check |
| Emulator Detection Check |
| Unencrypted Credentials in Databases (sqlite db) Vulnerability check |
| Access Mock Location |
El resultado en terminos porcentuales por SEVERIDAD es el siguiente:
Desglozadas por su nivel de Severidad tenemos:
Las vulnerabilidades expuestas NO son nuevas. Solo veamos un ejemplo con Certific ate Pinning
Les dejo un enlace del 2013 donde se expone la misma: http://blog.elevenpaths.com/2013/08/certificate-pinning-el-que-el-como-y-el.html
y otro enlace de OWASP: https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning
ACLARACION
El presente articulo continen datos que han sido colectados a inicios del mes de diciembre. Las evaluaciones se han terminado antes del 10/12. En ese tiempo podrian haberse dado algunas modificaciones, pero estimamos que no muchas.
El contenido trata de ser lo mas generico posible para llegar al publico en general. Sin embargo el soporte es tecnico.
CONCLUSION:
La innovacion por supuesto que es bueno y no podemos cargar con temas de seguridad toda esa corriente que motivada por el acelerado crecimiento de la tecnologia movil esta buscando nuevas formas o reinventando nuevos conceptos. Por eso en las entidades y en general estamos quienes nos ocupamos de temas de seguridad. No queremos estar contra la corriente y el entusiasmo. Pero seria irresponsable sacar un ultimo modelo de automovil sin la seguridad necesaria.
Las entidades reguladas, reguladoras deben prestar atencion a la bomba de tiempo que estamos colocando en cada telefono movil. Y el usuario final debe entender que ese Compañero digital llamado telefono movil, puede traerle muchos problemas en un momento dado.
