Video: Tu app de Banca Móvil no es tan segura como crees (Noviembre 2024)
Las aplicaciones con frecuencia tienen acceso a datos que no necesitan o permisos para usar hardware y servicios que no tienen nada que ver con lo que hacen. Un estudio reciente muestra que los problemas están mucho más extendidos de lo que pensábamos.
Los investigadores de HP examinaron más de 2, 000 aplicaciones de iOS entre octubre y noviembre y encontraron que nueve de cada diez aplicaciones tenían vulnerabilidades graves, según el estudio publicado el mes pasado. Los problemas iban desde tener demasiados permisos, datos sin cifrar y transmitir datos de forma insegura. Los juegos no necesitan tener acceso a su libreta de direcciones, y realmente no hay ninguna razón para que la aplicación del clima tenga permiso para enviar correos electrónicos. Si una aplicación no protege los datos a los que tiene acceso o no protege adecuadamente cómo usa los componentes principales del sistema operativo, el dispositivo se vuelve vulnerable a los ataques.
Los dispositivos móviles son "objetivos principales para el ataque, con aplicaciones vulnerables que proporcionan acceso a datos confidenciales", dijo Mike Armistead, vicepresidente y gerente general del grupo de productos de seguridad empresarial en HP Fortify.
En el estudio, los investigadores utilizaron el motor de análisis dinámico y binario HP Fortify on Demand para probar 2.107 aplicaciones, seleccionadas de 22 categorías diferentes, incluidas la productividad y las redes sociales. Si bien el estudio se centró en aplicaciones empresariales personalizadas, no es difícil suponer que hay problemas de seguridad y privacidad similares en las aplicaciones que encontraríamos en la App Store de Apple o Google Play.
No proteger datos
Casi todas, el 97 por ciento, de las aplicaciones probadas accedieron al menos a una "fuente de información privada", como libretas de direcciones personales y páginas de redes sociales, o aprovecharon la conectividad Bluetooth o Wi-Fi. Lo preocupante es que un asombroso 86 por ciento de esas aplicaciones no tenían medidas de seguridad adecuadas para garantizar la protección de los datos privados, según el estudio.
Según el estudio, aproximadamente el 75 por ciento de las aplicaciones usaban cifrado incorrectamente al almacenar datos en dispositivos móviles. Los datos no protegidos incluyen contraseñas, información personal, tokens de sesión, documentos, registros de chat y fotografías.
Fue tranquilizador ver que solo el 18 por ciento de las aplicaciones probadas en el estudio enviaban nombres de usuario y contraseñas a través de HTTP, mientras que las aplicaciones restantes usaban SSL / HTTPS. Sin embargo, de aquellos que usan el modo seguro de transmisión, casi el 20 por ciento tenía implementaciones SSL / HTTPS incorrectas. Esto significa que los datos aún son vulnerables a ser rastreados por atacantes maliciosos.
Los desarrolladores necesitan intensificar
En general, los sistemas operativos móviles, tanto Android como iOS, están mejorando al describir explícitamente qué permisos solicita la aplicación. También hay pautas más estrictas sobre qué tipo de datos pueden acceder las aplicaciones. Sin embargo, la carga aún recae en el usuario al mirar la lista de permisos, comprender las implicaciones y tomar la decisión de que las solicitudes no son razonables.
El mejor escenario sería si los desarrolladores integraran seguridad y privacidad en las aplicaciones desde el principio. Deben pensar cómo interactúan sus aplicaciones con otras aplicaciones y el sistema operativo. Deben considerar cómo sus aplicaciones pueden acceder de forma segura a los datos.
Las empresas necesitan cambiar de "rápido al mercado" a "seguro y rápido al mercado", dijo HP.
