¿Cómo se puede evaluar la seguridad de una aplicación móvil? TIC Defense te lo cuenta
A principios del mes de mayo de este año, se hizo público que diversas aplicaciones para móviles, muchas de las cuales eran las más descargadas en el mundo, como Xiaomi File Manager o WPS Office, eran vulnerables a ataques. Pues bien, esta noticia ha puesto en jaque la seguridad de los dispositivos Android este año, el causante: Dirty Stream.
Este caso permite observar cómo los ciberdelincuentes están enfocando todos sus esfuerzos en atacar los dispositivos móviles, lo cuales ya son fundamentales para nuestro desenvolvimiento diario, tanto personal como profesional y corporativo.
Por esta razón, la evaluación de la seguridad de una aplicación móvil se ha convertido en algo imprescindible para las compañías que desarrollan estas apps. Las auditorías de seguridad de aplicaciones móviles permiten detectar y mitigar algunas vulnerabilidades que, en muchos casos, pueden ser explotadas con éxito.
Resulta significativo que las empresas desarrolladoras de aplicaciones móviles sometan a sus productos finales a una serie de pruebas de seguridad, las cuales deben ser constantes en el tiempo. Por ello, TIC Defense va a explicarte un poco acerca de cómo se puede evaluar la seguridad de una app móvil, con el fin de lograr que sea resiliente frente al creciente número de ciberataques a los dispositivos inteligentes.
En primer lugar, una auditoría de seguridad de una aplicación móvil, se trata de un análisis de componentes y funcionalidades de la misma. Esto con el objetivo de verificar su estado de seguridad, las auditorías se hacen tanto en aplicaciones para Android como para iOS.
Del mismo modo, el análisis dinámico de este tipo de aplicaciones establece un conjunto de técnicas, las cuales tienen como objetivo elestudio del comportamiento de la aplicación mientras esta se está ejecutando. Se procede a interactuar con la aplicación en cuestión para analizar la manera en la que gestiona los datos de los usuarios y los métodos de protección de binarios.
Por otra parte, el análisis estático se compone por un conjunto de técnicas que están orientadas a hacerle ingeniería inversa a la aplicación auditada. En esta parte de la evaluación de seguridad, se pretende intentar recuperar el código de dicha aplicación y sus recursos, con el objeto de identificar vulnerabilidades sin llegar a ejecutarla y entender, en la medida de lo posible, su lógica.
Entre las herramientas que se usan para una auditoría de seguridad para aplicaciones móviles es amplio. Esto se debe a la cantidad de factores que se deben tener en cuenta. Una de estas herramientas son los descompiladores; programas que permiten obtener una aproximación real de código fuente original de la app y sus recursos.
Los servidores proxy se han convertido en herramientas de interceptación de comunicaciones entre las aplicaciones y los servidores, con el objeto de analizar dicha aplicación y modificarla. Un servidor proxy es importante para el estudio dinámico de la información intercambiada con los servidores.
Las herramientas de instrumentación de código, son programas que pueden inyectar bibliotecas dinámicas en los procesos de la aplicación, con el fin de manipular su flujo durante la ejecución de la misma. Estas herramientas se utilizan para evadir las medidas de protección del binario contra la ingeniería inversa, tales como la detección de ejecución en smartphones rooteables o que tienen jailbreak, además del uso de depuradores.
