La investigación de la firma de seguridad web High-Tech Bridge debería preocupar a cualquiera que use una aplicación móvil de criptomonedas en su dispositivo Android: casi todos contienen algún tipo de vulnerabilidad que compromete la seguridad.

Dado que el valor de Bitcoin continúa aumentando, no sorprende que las aplicaciones de criptomonedas se estén convirtiendo en el objetivo de los piratas informáticos: los bitcoins ahora valen más de $ 10,000 cada uno y su crecimiento no se detiene. Sí, puede ser una burbuja. Sin embargo, es valioso, especialmente para aquellos que solo quieren robar y tirar monedas para ganar dinero rápido.

Si está utilizando una aplicación popular de criptomonedas para Android, existe una garantía casi total de que es vulnerable a al menos una de las 10 principales vulnerabilidades móviles del Open Web Application Security Project (OWASP).

Índice
  • Más valor criptográfico, más problemas criptográficos
  • Lo que los desarrolladores deberían hacer de manera diferente
  • Más valor criptográfico, más problemas criptográficos

    Para ser claros, el hecho de que estas aplicaciones contengan vulnerabilidades no significa que hayan sido explotadas, pero dado el valor creciente y la popularidad mediática de Bitcoin y otras criptomonedas, es cada vez más probable que lo sean.

    Para encontrar vulnerabilidades en las aplicaciones de criptomonedas de Android, High-Tech Bridge usó su herramienta Mobile X-Ray para escanear APK en busca de OWASP y otras vulnerabilidades. Las pruebas se centraron en las 30 aplicaciones de criptomonedas más populares con más de 500 000 instalaciones, 30 con hasta 500 000 y 30 con hasta 100 000.

    Lo que encontró fue sorprendente por decir lo menos. De las aplicaciones con más de 500 000 descargas, el 94 % contenía al menos tres vulnerabilidades de riesgo medio, el 94 % carecía de refuerzo o protección de back-end, y el 94 % todavía usaba SSL 3.0 de 21 años o SSL 3.0 de 18 años. protocolos de cifrado TLS 1.0 heredados.

    VER: 5 cosas que las empresas deben considerar antes de aceptar o invertir en criptomonedas (TechRepublic)

    Bajando en la lista, las aplicaciones menos populares no estaban menos plagadas de peligrosas prácticas de seguridad. En total, ni una sola aplicación estaba protegida contra la ingeniería inversa, el 84 % contenía al menos dos vulnerabilidades de alto riesgo, el 61 % transmitía datos sin cifrar a través de HTTP y el 47 % era vulnerable a ataques man-in-the-middle”.

    Las tres vulnerabilidades de OWASP más populares también fueron consistentes en los tres niveles de instalación:

    • Uso inapropiado de la plataforma.que cubre el uso indebido de una característica de la plataforma (como intentos de Android, TouchID o llaveros) o la falta de uso de los controles de seguridad de la plataforma
    • Almacenamiento de datos no seguroque también cubre fugas de datos inadvertidas
    • Criptografía insuficienteque cubre cualquier uso de criptografía que no se haya hecho correctamente (incluidos los problemas de SSL y TLS)

    Lo que los desarrolladores deberían hacer de manera diferente

    El CEO de High-Tech Bridge, Ilia Kolochenko, no vaciló en sus conclusiones de la investigación: la falla radica en las malas prácticas de desarrollo ágil.

    "El desarrollo 'ágil' generalmente no implica ningún marco para garantizar un diseño seguro, técnicas seguras de codificación y endurecimiento, o pruebas de seguridad de aplicaciones", dijo Kolochenko en el informe.

    Entonces, ¿qué debe hacer un desarrollador de aplicaciones de Bitcoin para proteger su reputación, sus finanzas y sus usuarios? Incluir la seguridad en el proceso de desarrollo desde el principio, sobre lo que TechRepublic ya ha informado.

    VER: ¿Qué es blockchain? Comprender la tecnología y la revolución (PDF gratuito) (TechRepublic)

    Kolochenko recomienda implementar los Requisitos generales de protección de datos (GDPR), que por ley solo se aplican a los países de la UE, al principio del proceso de desarrollo para garantizar que las aplicaciones cumplan con los requisitos de seguridad modernos. Puede que el RGPD no sea importante para los desarrolladores en otras partes del mundo, pero es una regulación exhaustiva que sirve como una valiosa guía de seguridad y privacidad para aquellos en otros países. .

    Cualquier aplicación que procese datos confidenciales de los usuarios, ya sea para criptomonedas o de otro tipo, debe protegerse contra cualquier posible compromiso. Aunque ciertamente es una tarea abrumadora, diseñar desde cero con un enfoque en la privacidad del usuario y la seguridad de los datos es un buen comienzo.

    Ver también:

    • Las aplicaciones cargadas de malware en Google Play Store socavan la criptomoneda de las víctimas móviles (TechRepublic)
    • JPMorgan llama a Bitcoin "fraude" solo para uso de delincuentes y norcoreanos (ZDNet)
    • Blockchain: la guía de la persona inteligente (TechRepublic)
    • El usuario de Ethereum explota accidentalmente una vulnerabilidad importante y bloquea las billeteras (ZDNet)
    • Glosario rápido: Blockchain (Tech Pro Research)