Las aplicaciones populares de banca móvil están plagadas de fallas de seguridad, y los usuarios de Android están más expuestos


Un estudio de aplicaciones bancarias para iOS y Android encontró una protección deficiente del código fuente, el almacenamiento de texto confidencial de datos confidenciales y otras fallas graves que facilitan a los atacantes entrar en cuentas.

istock-682395888.jpg

Getty Illustrations or photos / iStockphoto

Un estudio de aplicaciones bancarias para iOS y Android ha llevado a los investigadores a concluir que «ninguna de las aplicaciones de banca móvil probadas tiene un nivel aceptable de seguridad».

Realizado por el proveedor de seguridad de TI Positive Systems, el estudio probó 14 aplicaciones bancarias disponibles en iOS y Android que tenían más de 500,000 descargas cada una. A pesar del pequeño tamaño de la muestra, existen razones para prestar atención a los resultados.

Cada aplicación contenía vulnerabilidades, y tres eran comunes a todas ellas: la falta de ofuscación, ninguna protección contra la inyección de código y el reempaquetado, y el código que contenía nombres de clases y métodos.

En resumen, use la aplicación móvil de su banco bajo su propio riesgo.

Afortunadamente para los usuarios de iOS, ninguno de los defectos descubiertos en las versiones de iOS de las aplicaciones encuestadas fue peor que un riesgo «medio» en comparación, el 29% de las aplicaciones bancarias de Android contenían fallas de alto riesgo.

Las vulnerabilidades descubiertas en el estudio ponen a los usuarios individuales y a los clientes comerciales directamente en peligro, y en muchos casos un atacante ni siquiera necesita obtener acceso al lado del servidor de una aplicación bancaria para hacer daño.

Las aplicaciones del lado del cliente son aquellas que se instalan en dispositivos personales y representan el 46% de los problemas descubiertos. De esos problemas, el 76% puede explotarse sin que un atacante tenga acceso físico al dispositivo de destino, solo requiriendo que el atacante suplante de identidad exitosamente a un objetivo o haga que haga clic en un enlace malicioso o ejecute un script dañino.

De las vulnerabilidades en el lado del cliente, tres se destacan por estar particularmente extendidas: 13 de 14 aplicaciones permiten el acceso no autorizado a los datos del usuario, 13 de 14 son vulnerables a los ataques de intermediarios y 11 de 14 aplicaciones permiten el acceso no autorizado a la aplicación en sí.

VER: Conciencia de seguridad y política de capacitación (TechRepublic Top quality)

Las cosas no son mucho mejores en el lado del servidor, donde más de la mitad de las aplicaciones contienen una vulnerabilidad de alto riesgo.

Los principales problemas en el lado del servidor de la banca móvil vienen en forma de autenticación insuficiente, vulnerabilidad de la fuerza bruta y fallas en la identificación de la aplicación, todo lo cual puede usarse para hacerse pasar por un usuario para robar datos y transferir fondos ilegalmente.

¿Qué se puede aprender de la pobre seguridad de la banca móvil?

Si hay un punto brillante en el estudio es que (al menos en el lado del cliente) solo se puede aprovechar el 37% de las vulnerabilidades sin que un dispositivo esté liberado o rooteado.

No hay una manera confiable de medir cuántos dispositivos iOS o Android han sido liberados o enraizados, pero las estimaciones vienen en algún lugar menos del 1% de iPhonesy alrededor 7.6% de dispositivos Android, al menos desde hace unos años (las estadísticas más recientes son difíciles de encontrar).

VER: VPN: selección de un proveedor y consejos para la solución de problemas (PDF gratuito) (TechRepublic)

El informe concluye que aquellos que usan aplicaciones de banca móvil deben evitar el rooteo y el jailbreak, nunca instalar aplicaciones de fuentes no oficiales, no hacer clic en los enlaces enviados por extraños y mantener siempre actualizados los dispositivos y las aplicaciones.

«En el 87% de los casos, se requiere la interacción del usuario para explotar una vulnerabilidad», dice el informe.

«Instamos a los bancos a hacer un mejor trabajo al enfatizar la seguridad de las aplicaciones tanto en el diseño como en el desarrollo. El código fuente está plagado de problemas, por lo que es crucial revisar los enfoques de desarrollo mediante la implementación de prácticas SSDL (ciclo de vida seguro del desarrollo de software package) y garantizar la seguridad en todas las etapas de el ciclo de vida de la aplicación «, dijo la analista de Favourable Systems Olga Zinenko.

Esa lección se extiende a cualquier negocio con una aplicación que maneje datos confidenciales: desarrolle de forma segura desde el principio, revise el código antiguo para asegurarse de que no sea susceptible y pruebe a fondo las aplicaciones antes de lanzarlas al público.

Ver también



Enlace a la noticia unique