Platzi
Platzi

Suscr铆bete a Expert y aprende de tecnolog铆a al mejor precio anual.

Antes: $249
$209
Currency
Antes: $249
Ahorras: $40
COMIENZA AHORA
Termina en: 5D : 21H : 23M : 46S

OWASP TOP 10 Mobile4/22

Lectura

La comunidad de OWASP siempre ha sido destacada a nivel mundial por su empe帽o en el desarrollo de soluciones asociadas al desarrollo seguro. Sin embargo desde hace algunos a帽os ha venido incurriendo en campos como el IoT, seguridad inform谩tica e incluso seguridad de la informaci贸n.

En su wiki encontrar谩s dos documentos muy importantes que son:

  • Owasp Mobile Security Testing Guide

  • OWASP Top 10 Mobile

Estos documentos est谩n centrados en poner a prueba la seguridad de las aplicaciones m贸viles en desarrollo y el segundo en identificar las vulnerabilidades m谩s comunes que encontrar谩s asociadas a sus aplicaciones. A continuaci贸n veamos c贸mo est谩 compuesto el OWASP TOP 10 Mobile.

M1: Uso incorrecto de la plataforma

Esta categor铆a cubre el mal uso de una funci贸n de la plataforma o la falta de uso de los controles de seguridad de la plataforma. Puede incluir intentos de Android, permisos de plataforma, uso indebido de TouchID, el llavero o alg煤n otro control de seguridad que forme parte del sistema operativo m贸vil.

Para que esta vulnerabilidad sea explotada, la organizaci贸n debe exponer un servicio web o una llamada API que es consumida por la aplicaci贸n m贸vil. El servicio expuesto o la llamada API se implementa utilizando t茅cnicas de codificaci贸n inseguras que producen una vulnerabilidad de los diez principales de OWASP dentro del servidor. A trav茅s de la interfaz m贸vil, un adversario puede alimentar entradas maliciosas o secuencias inesperadas de eventos al punto final vulnerable. Por lo tanto, el adversario se da cuenta de la vulnerabilidad original de OWASP Top Ten en el servidor.

M2: Almacenamiento de datos inseguros

Los agentes de amenazas incluyen lo siguiente: un adversario que ha alcanzado un dispositivo m贸vil perdido / robado; malware u otra aplicaci贸n re empaquetada que act煤a en nombre del adversario que se ejecuta en el dispositivo m贸vil.

En el caso de que un adversario alcance f铆sicamente el dispositivo m贸vil, el adversario conecta el dispositivo m贸vil a una computadora con software disponible gratuitamente. Estas herramientas permiten al adversario ver todos los directorios de aplicaciones de terceros que a menudo contienen informaci贸n de identificaci贸n personal (PII) almacenada u otros activos de informaci贸n confidencial. Un adversario puede construir malware o modificar una aplicaci贸n leg铆tima para robar dichos activos de informaci贸n.

M3: Comunicaci贸n insegura

Al dise帽ar una aplicaci贸n m贸vil, los datos se intercambian com煤nmente de manera cliente-servidor. Cuando la soluci贸n transmite sus datos, debe atravesar la red de operadores del dispositivo m贸vil e Internet. Los agentes de amenazas pueden explotar vulnerabilidades para interceptar datos confidenciales mientras viajan a trav茅s del cable. Existen los siguientes agentes de amenaza:

  • Un adversario que comparte su red local (Wi-Fi comprometido o monitoreado).

  • Dispositivos portadores o de red (enrutadores, torres de telefon铆a m贸vil, proxy, etc.).

  • Malware en tu dispositivo m贸vil.

El factor de explotabilidad de monitorear una red para rangos de comunicaciones inseguros. Monitorear el tr谩fico a trav茅s de la red de un operador es m谩s dif铆cil que monitorear el tr谩fico de una cafeter铆a local. En general, los ataques dirigidos son m谩s f谩ciles de realizar.

M4: Autenticaci贸n insegura

Los agentes de amenazas que explotan las vulnerabilidades de autenticaci贸n generalmente lo hacen a trav茅s de ataques autom谩ticos que utilizan herramientas disponibles o personalizadas.

Una vez que el adversario comprende c贸mo el esquema de autenticaci贸n es vulnerable, simula u omite la autenticaci贸n al enviar solicitudes de servicio al servidor de back-end de la aplicaci贸n m贸vil y omite cualquier interacci贸n directa con la aplicaci贸n m贸vil. Este proceso de env铆o generalmente se realiza a trav茅s de malware m贸vil dentro del dispositivo o botnets propiedad del atacante.

M5: Criptograf铆a insuficiente

Los agentes de amenazas incluyen lo siguiente: cualquier persona con acceso f铆sico a datos que se han cifrado incorrectamente, o malware m贸vil que act煤a en nombre de un adversario.

Los vectores de ataque corresponden a los mismos vectores de ataque disponibles a trav茅s del tradicional OWASP Top Ten. Cualquier llamada API expuesta puede servir como vector de ataque aqu铆.

Para explotar esta debilidad, un adversario debe devolver con 茅xito el c贸digo encriptado o los datos confidenciales a su forma original sin encriptar debido a algoritmos de encriptaci贸n d茅biles o fallas dentro del proceso de encriptaci贸n.

M6: Autorizaci贸n insegura

Los agentes de amenazas que explotan las vulnerabilidades de autorizaci贸n generalmente lo hacen a trav茅s de ataques automatizados que utilizan herramientas disponibles o personalizadas.

Una vez que el adversario comprende c贸mo es vulnerable el esquema de autorizaci贸n, inicia sesi贸n en la aplicaci贸n como usuario leg铆timo. Pasaron con 茅xito el control de autenticaci贸n. Una vez pasada la autenticaci贸n, suelen forzar la exploraci贸n a un punto final vulnerable para ejecutar la funcionalidad administrativa. Este proceso de env铆o generalmente se realiza a trav茅s de malware m贸vil dentro del dispositivo o botnets propiedad del atacante.

M7: Calidad del c贸digo del cliente

Los Agentes de amenazas incluyen entidades que pueden pasar entradas no confiables a llamadas de m茅todo realizadas dentro del c贸digo m贸vil. Este tipo de problemas no son necesariamente problemas de seguridad en s铆 mismos, sino que generan vulnerabilidades de seguridad. Por ejemplo, el desbordamiento del b煤fer en las versiones anteriores de Safari (una vulnerabilidad de baja calidad del c贸digo) condujo a ataques Jailbreak de alto riesgo. Los problemas de mala calidad del c贸digo generalmente se explotan a trav茅s de malware o estafas de phishing.

M8: Manipulaci贸n de c贸digo

Por lo general, un atacante explotar谩 la modificaci贸n del c贸digo a trav茅s de formas maliciosas de las aplicaciones alojadas en tiendas de aplicaciones de terceros. El atacante tambi茅n puede enga帽ar al usuario para que instale la aplicaci贸n mediante ataques de phishing.

Normalmente, un atacante har谩 lo siguiente para explotar esta categor铆a:

  • Realizar cambios binarios directos al n煤cleo binario del paquete de la aplicaci贸n.

  • Realizar cambios binarios directos a los recursos dentro del paquete de la aplicaci贸n.

  • Redirigir o reemplazar las API del sistema para interceptar y ejecutar c贸digo extra帽o que sea malicioso.

M9: Ingenier铆a inversa

Un atacante generalmente descargar谩 la aplicaci贸n espec铆fica de una tienda de aplicaciones y la analizar谩 dentro de su propio entorno local utilizando un conjunto de herramientas diferentes.

Un atacante debe realizar un an谩lisis del n煤cleo binario final para determinar su tabla de cadenas original, c贸digo fuente, bibliotecas, algoritmos y recursos integrados en la aplicaci贸n. Los atacantes utilizar谩n herramientas relativamente asequibles y bien entendidas como IDA Pro, Hopper, otool, cadenas y otras herramientas de inspecci贸n binaria desde el entorno del atacante.

En general, todo el c贸digo m贸vil es susceptible a la ingenier铆a inversa. Algunas aplicaciones son m谩s susceptibles que otras. El c贸digo escrito en lenguajes o frameworks que permiten la introspecci贸n din谩mica en tiempo de ejecuci贸n (Java, .NET, Objective C, Swift) est谩n particularmente en riesgo de ingenier铆a inversa.

Detectar la susceptibilidad a la ingenier铆a inversa es bastante sencillo. Primero, descifre la versi贸n de la tienda de aplicaciones de la aplicaci贸n (si se aplica el cifrado binario). Luego, use las herramientas descritas en la secci贸n 鈥淰ectores de ataque鈥 de este documento contra el binario. El c贸digo ser谩 susceptible s铆 es bastante f谩cil de entender la ruta de flujo de control de la aplicaci贸n, la tabla de cadenas y cualquier pseudoc贸digo / c贸digo fuente generado por estas herramientas.

M10: Funcionalidad extra帽a

Por lo general, un atacante busca comprender funciones extra帽as dentro de una aplicaci贸n m贸vil para descubrir funciones ocultas en los sistemas de back-end. El atacante normalmente explotar谩 funcionalidades extra帽as directamente de sus propios sistemas sin ninguna participaci贸n de los usuarios finales.

Un atacante descargar谩 y examinar谩 la aplicaci贸n m贸vil dentro de su propio entorno local. Examinar谩n los archivos de registro, los archivos de configuraci贸n y quiz谩s el propio binario para descubrir cualquier interruptor oculto o c贸digo de prueba que los desarrolladores dejaron atr谩s. Aprovechar谩n estos interruptores y la funcionalidad oculta en el sistema de fondo para realizar un ataque.

Mas informaci贸n: https://owasp.org/www-project-mobile-top-10/2016-risks/

Aportes 12

Preguntas 0

Ordenar por: