miércoles, 30 de mayo de 2018

Descargando vulnerabilidad...

¿Alguna vez te has parado a contar el número de aplicaciones que tienes descargadas en tu smartphone? Adelante. De media, los usuarios tenemos 28 apps en nuestro móvil, pero el número de descargas es mucho mayor. Casi cada día nos bajamos aplicaciones de todo tipo y eliminamos otras, por lo que el tráfico en nuestro smartphone es constante, lo que se traduce a una vía de entrada para los ciberatacantes. En la eterna guerra entre iOS y Android, en la batalla entre las stores, Android sale perdiendo.


En el estudio se analizaron las 50 mejores aplicaciones de compras móviles de Android, y se determinó un total de 274 vulnerabilidades. El dato más preocupante es que todas tenían riesgos de seguridad. Las aplicaciones se probaron en 34 categorías diferentes de pruebas de seguridad.

El 94% de las aplicaciones fallaron una prueba de Receptores exportados no protegidos.
Las aplicaciones de Android exportan receptores, que responden a anuncios de transmisión externa y se comunican con otras aplicaciones. Por ejemplo, cuando los receptores no están protegidos, los ciberdelincuentes pueden modificar el comportamiento de la aplicación como ellos quieran e insertar datos que no pertenecen a dichas aplicaciones.

Otro de los datos recogidos es que el 70% de las aplicaciones se vieron afectadas por actividades exportadas no protegidas. Las actividades se ejecutan a través de un acceso autorizado. Cuando una actividad se exporta sin protección, se puede iniciar de forma remota fuera de la aplicación. Esto permite a los atacantes acceder a información confidencial, modificar la estructura interna de las aplicaciones o engañar a un usuario para que se comunique con la aplicación comprometida, creyendo que está interactuando con la aplicación original.

El 64% de las aplicaciones se vieron afectadas por la aplicación que extiende el cliente WebView. Cuando los clientes de WebView no están protegidos correctamente en las extensiones de aplicación, los atacantes pueden engañar a los usuarios para que introduzcan información personal y confidencial en aplicaciones falsas o copiadas, lo que pone en jaque los datos de usuario, y sobre todo la privacidad.

Muchas veces, los usuarios y compradores de Play Store simplemente necesitan hacer clic en el botón de compra en una aplicación para completarla, sin ingresar información adicional, por lo que la facilidad de descarga es extremadamente sencilla, incluso en las aplicaciones de pago. La mayoría de los usuarios introduce por defecto su tarjeta de crédito en Play Store para comprar apps de pago, pero lo que no saben es el porcentaje de vulnerabilidades que estas esconden. 

¿Están suficientemente protegidas estas aplicaciones? Desde luego es un dato preocupante si casi el 100% de las aplicaciones más populares que utilizamos cada día pueden poner en riesgo nuestros datos.

0 comentarios:

Publicar un comentario