Getty Images/iStockphoto

Un estudio de las aplicaciones bancarias para iOS y Android llevó a los investigadores a Conclusión que "ninguna de las aplicaciones bancarias móviles probadas tenía un nivel de seguridad aceptable".

Realizado por el proveedor de seguridad de TI Positive Technologies, el estudio probó 14 aplicaciones bancarias disponibles tanto en iOS como en Android, que registraron más de 500 000 descargas cada una. A pesar del pequeño tamaño de la muestra, hay razones para prestar atención a los resultados.

Todas las aplicaciones contenían vulnerabilidades, y tres eran comunes a todas: falta de ofuscación, falta de protección contra la inyección de código y el reempaquetado, y código que contenía nombres de clases y métodos.

En resumen, utilice la aplicación móvil de su banco bajo su propio riesgo.

Afortunadamente para los usuarios de iOS, ninguna de las fallas encontradas en las versiones de iOS de las aplicaciones estudiadas fue peor que un riesgo "medio"; en comparación, el 29% de las aplicaciones bancarias de Android contenían vulnerabilidades de alto riesgo.

Las vulnerabilidades encontradas en el estudio ponen a los usuarios individuales y clientes comerciales directamente en riesgo y, en muchos casos, un atacante ni siquiera necesita acceder al lado del servidor de una aplicación bancaria para causar daños.

Las aplicaciones del lado del cliente son aquellas instaladas en dispositivos personales y representan el 46% de los problemas descubiertos. De estos problemas, el 76 % puede explotarse sin que un atacante tenga acceso físico al dispositivo de destino, lo que requiere que solo el atacante phisee con éxito un objetivo o haga clic en un enlace malicioso o ejecute un script dañino.

Entre las vulnerabilidades del lado del cliente, tres se destacan como particularmente frecuentes: 13 de 14 aplicaciones permiten el acceso no autorizado a los datos del usuario, 13 de 14 son vulnerables a ataques de intermediarios y 11 de 14 aplicaciones permiten el acceso no autorizado. acceso autorizado a la propia aplicación.

VER: Política de sensibilización y formación en seguridad (Premium de TechRepublic)

Las cosas no son mucho mejores en el lado del servidor, donde más de la mitad de las aplicaciones contienen una vulnerabilidad de alto riesgo.

Los principales problemas en el lado del servidor de la banca móvil se presentan en forma de autenticación insuficiente, vulnerabilidad de fuerza bruta y falla de identificación de la aplicación, todo lo cual puede usarse para hacerse pasar por un usuario para robar datos y transferir fondos ilegalmente.

Índice
  • Qué se puede aprender de la mala seguridad de la banca móvil
  • Qué se puede aprender de la mala seguridad de la banca móvil

    Si hay un lado positivo en el estudio, es que (al menos en el lado del cliente) solo el 37% de las vulnerabilidades se pueden explotar sin que un dispositivo sea liberado o rooteado.

    No existe una forma confiable de medir la cantidad de dispositivos iOS o Android con jailbreak o rooteados, pero las estimaciones rondan menos del 1% de los iPhone y alrededor del 7,6% de los dispositivos Android, al menos hay algunos años (las estadísticas más recientes son difíciles). pasar por).

    VER: VPN: elección de un proveedor y consejos para la resolución de problemas (PDF gratuito) (República Tecnológica)

    Le rapport conclut que ceux qui utilisent des applications bancaires mobiles doivent éviter l'enracinement et le jailbreak, ne jamais installer d'applications provenant de sources non officielles, ne pas cliquer sur des liens envoyés par des inconnus et toujours maintenir à jour les appareils et las aplicaciones.

    "En el 87% de los casos, se requiere la interacción del usuario para que se explote una vulnerabilidad", dice el informe.

    “Instamos a los bancos a poner más énfasis en la seguridad de las aplicaciones, tanto en el diseño como en el desarrollo. El código fuente está plagado de problemas, por lo que es esencial revisar los enfoques de desarrollo mediante la implementación de SSDL. [Secure software development lifecycle] prácticas y garantizar la seguridad en todas las etapas del ciclo de vida de la aplicación”, dijo Olga Zinenko, analista de Positive Technologies.

    Esta lección se aplica a cualquier empresa con una aplicación que maneje datos confidenciales: desarrolle de forma segura desde el principio, revise el código antiguo para asegurarse de que no sea vulnerable y pruebe las aplicaciones a fondo antes de seguir adelante.