Estudio de HP encuentra vulnerabilidades en 9 de cada 10 apps móviles

0

Las apps de Apple y Android bajo sospechaDiversos test realizados por HP Forify -la sección de HP dedicada a seguridad- indican que el 90% de las apps móviles poseen al menos un tipo de vulnerabilidad conocida.

La compañía ha estado empleando su herramienta Fortify On Demand for Mobile para comprobar la situación de la seguridad de 2107 aplicaciones, publicadas por 601 desarrolladores distintos del Forbes Global 2000. Tan sólo se han probado aplicaciones de iOS, pero HP afirma que existen buenas razones para pensar que dicha vulnerabilidad está presente también en apps de la competencia: Android.

A nivel general, los problemas se engloban en cuatro categorías. El análisis muestra que el 86% de las aplicaciones que accedieron a datos potencialmente privados, tales como libros de contactos o conexiones Bluetooth, carecían de una seguridad suficiente.

El 86% de las apps probadas no ofrecían una protección de archivos binarios adecuada. Esto se refiere a un grupo de técnicas, muchas de ellas implementadas mediante casillas de verificación en el momento de compilar la app, que las protegen contra ciertos ataques, como desbordamientos de búfer, alteraciones de ruta o detecciones de jailbreak.

El 75% de las apps no cifraron los datos antes de almacenaros en el dispositivo. Estos datos incluían contraseñas, documentos, logs de chats, un poco de todo.

El 18% de las aplicaciones transmitieron datos hacia la red sin un cifrado mediante SSL. Otro 18% empleó el SSL, pero de forma incorrecta o poco eficaz. El resultado es que los datos privados transmitidos eran transparentes y accesibles por cualquier individuo en nuestra misma red Wifi, ya sea en un Cofee Shop o una Biblioteca.

Al preguntar a Mike Armistead, vicepresidente y manager general de Fortify (HP), comentó que “el 71% de las vulnearbilidades eran, de echo, problemas relativos a la aplicación que estaban en el lado del servidor”. Muchos de estos problemas son comunes, por ejemplo inyecciones SQL o XSS (Cross Site Scripting) Las consecuencias de estos problemas pueden ser graves y su solución requiere de un entendimiento de sus procesos, para así encontrar las vulnerabilidades.

Nadie sería capaz de restar importancia, abiertamente, al papel de la seguridad en entornos de desarrollo móviles, pero existe una desmesurada urgencia corporativa por desarrollar y presentar nuevas apps rápido. Los usuarios las demandan. Esto parece haber colocado la seguridad en el vagón de cola de prioridades.

Las conclusiones de este estudio son, obligatoriamente, que son los desarrolladores móviles deben seguir conductas reponsables si no quieren exponer a sus clientes y su propia empresa a futuros ataques. Deberían escanear sus aplicaciones empleando una solución de detección de fallos como Mobile Fortify on Demand e invertir algo más de tiempo y recursos en la fase de desarrollo. Mientras, lo usuarios haremos bien si desconfiamos a la hora de enviar nuestros datos a cualquier aplicación que se presente. Como hemos dicho otras veces tampoco es mala idea revisar los permisos solitados por cada app a la hora de la instalación, sopesando si conviene asumir ciertos riesgos.

Estadísticas del estudio de HP

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR