permisos

BANCA DIGITAL : ¿APPs RIESGOSAS?

Sin duda no es lo mismo instalar una app de juegos al móvil o una aplicación de banca digital. Uno espera que la responsabilidad sobre los servicios financieros se extienda al dispositivo móvil donde se instala la aplicación y por consiguiente al consumidor financiero. Pero vemos que necesitamos trabajar un poco más al respecto.

Hace un mes llevamos a cabo una revisión de APPs de entidades financieras que están publicadas en el Play Store. Si son públicas, entonces pueden ser revisadas. OJO, Espero que los Gerentes GGGX consideren que antes de ser Gerentes son también usuarios y clientes de otras entidades financieras y la regulación beneficia a todos.

En estos días vimos algunas actualizaciones publicadas en el Play store. Entonces quisimos ver como estaba cambiando la seguridad de las aplicaciones.

Para este articulo hemos tomado uno de los Bancos mas representativos, pero solo como ejemplo.

ANÁLISIS DE PERMISOS DE APP SOBRE EL MÓVI

 

En cuanto a permisos de la APP tenemos los siguientes:

PERMISOS DICIEMBRE 2017

  •     android:name="android.permission.INTERNET" />
    android:name="android.permission.ACCESS_NETWORK_STATE" />
    android:name="android.permission.ACCESS_FINE_LOCATION" />
    android:name="android.permission.ACCESS_COARSE_LOCATION" />
    android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
    android:name="android.permission.READ_EXTERNAL_STORAGE" />
    android:name="android.permission.VIBRATE" />
    android:name="android.permission.CAMERA" />
    android:name="android.permission.USE_FINGERPRINT" />
    android:name="android.hardware.camera" />
    android:name="android.hardware.camera.autofocus" />
    android:name="android.hardware.location.gps" />
    android:name="android.permission.WAKE_LOCK" />

PERMISOS ENERO 2018

  • android:name="android.permission.INTERNET" />
  • android:name="android.permission.ACCESS_NETWORK_STATE" />
  • android:name="android.permission.ACCESS_FINE_LOCATION" />
  • android:name="android.permission.ACCESS_COARSE_LOCATION" />
  • android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
  • android:name="android.permission.READ_EXTERNAL_STORAGE" />
  • android:name="android.permission.VIBRATE" />
  • android:name="android.permission.CAMERA" />
  • android:name="android.permission.USE_FINGERPRINT" />
  • android:name="android.permission.CALL_PHONE" />
  • android:name="android.hardware.camera" />
  • android:name="android.hardware.camera.autofocus" />
  • android:name="android.hardware.location.gps" />
  • android:name="android.permission.WAKE_LOCK" />

Entonces vemos que SE ADICIONO EL PERMISO PARA HACER LLAMADAS

android:name="android.permission.CALL_PHONE" />

Varios de estos permisos están definidos como RIESGOSOS en la misma documentación para programadores ANDROID.

Se ha revisado los permisos que solicitan y surgen varias interrogantes:

  1. ¿Por qué la aplicación de banca digital requiere permisos sobre la cámara del dispositivo móvil? ¿Ahora puede sacar fotos y filmar sin mi permiso? ¿Para qué?
  2. ¿Por qué debe tener acceso sobre el contenido de la memoria externa? Ahí tengo datos personales.
  3. ¿Por qué quiere tener permisos sobre el teléfono y poder hacer llamadas? Ojo que este permiso no estaba en la versión de diciembre y fue adicionado en enero.
  4. ¡Pide demasiada información sobre la red!!
  5. ¿Por qué deben tener permisos sobre mi ubicación? ¿No es privada?
  6. ¡Otros!!! Sin duda gran parte de los permisos identificados dejan mucho que pensar.

Evidentemente algunos deben ser activados adicionalmente, pero la mayoría de los usuarios no tendrá el cuidado de estar auditando su aplicación móvil. Tiene confianza plena. Ojo que La administración manual de permisos llegó oficialmente con Android Marshmallow: puedes elegir a qué acceden tus aplicaciones, incluso tras instalarlas.

ANÁLISIS DE POTENCIALES VULNERABILIDADES

La revisión dio los siguientes resultados en cuanto a potenciales vulnerabilidades:

Presentamos los resultados detectado en diciembre y ahora los evaluados al 14 de enero del 2018. Vemos que la actualización liberada no ha tomado en cuenta aspectos de seguridad. Se mantienen los mismos

Recordemos los resultados anteriormente publicados:

 

 

NECESIDAD

  • Como ciber consumidor solicito que ASFI recuerde a las EEFF la necesidad de aplicar el concepto de “Mínimos privilegios”, definido en el Reglamento de Seguridad de la Información. Las aplicaciones móviles deben ser publicadas de esa forma. Lo menos intrusivas y riesgosas para el usuario financiero.
  • Las EEFF cuando publican APPs en cada versión, deberían enviar una Declaración jurada a ASFI, indicando que permisos esta solicitando al instalarse su APP. Asumiendo todos los riesgos que implican permisos excesivos. ASFI y las auditorias técnicas debe validar en sus visitas el cumplimiento de esta declaración.
  • Las EEFF deberían declarar los cambios que realizan en cada versión de app. Dando libertad al consumidor de instalar o no si considera riesgosa la actualización.
  • Finalmente como ciudadano y en el marco de la soberanía digital, la oficina de defensa al consumidor y ahora al ciberconsumidor debe tomar como su tarea proteger los datos del ciudadano boliviano y alertar sobre los riesgos.

 

CONCLUSIÓN

Los siguientes días enviare una carta a la EEFF para solicitar información sobre esta app. Espero respondan de forma clara y no con evasivas como antes. La seguridad puede mejorar, pero hay que ocuparse de ella.

El entusiasmo por entrar al mundo móvil debe estar acompañado de una adecuada gestión de riesgos y estrategias de seguridad.