Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
2. 2
Enrique “Quique” Dutra
www.argentesting.com
• Socio Gerente de Punto Net Soluciones SRL (empresa de 20 años)
• MVP desde 2006, actualmente MVP Cloud and Datacenter
Management 2019-2020.
• Auditor Lider ISO/IEC 27001 por BSI.
• 32 años de experiencia en Seguridad de la Información/ Informática.
• Responsable del área de Seguridad en compañías que han tercerizado
el servicio en Punto Net Soluciones SRL.
• Lidera equipo que realiza unos 500 test de vulnerabilidad anuales.
• Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT,
Evaluador Norma ISO/IEC 27005 y 27103.
• Instructor en CPCIPC de la ESAPI.
• Perito/Analista Forense.
• Disertante en eventos en LATAM (BRA-UY-PER-ARG).
• Lidera área Q&A de Seguridad en app moviles.
• Twitter: @egdutra / @puntonetsol
• Linkedin : https://www.linkedin.com/in/enriquedutra/
• http: www.puntonetsoluciones.com.ar
7. Celulares y las aplicaciones
• Siempre hay una aplicación que sirve para una situación.
• No se analiza que hace la aplicación.
• No se revisa los permisos que nos pide la aplicación.
• La aplicación pide usuario y contraseña y la integran con alguna red
social.
• No hacen backup de los datos.
• Envían y reciben datos sensibles.
• Hay dispositivos que no poseen patrones o pines de acceso.
• Acceso a las aplicaciones, redes sociales, correos, sin pedir un dato
que valide el usuario.
El usuario confía ciegamente en la aplicación y NO
analiza los riesgos de su uso.
8. Aplicaciones Infectadas en 2019
https://blogs.quickheal.com/quick-heal-reports-29-malicious-apps-10-million-downloads-google-play-store/
9. Nomofobia: miedo de perder el celular
77% de las personas que posee un teléfono inteligente padece 'nomofobia'
10. Desarrollos sin el estado de “seguro”
✓Framework desarrollo instalado en producción.
✓Ausencia de ambientes desarrollo / testing.
✓Ausencia de validaciones en formularios Web.
✓Fallas en validación/auntenticación.
✓Software con ”hardcode”.
✓Ausencia de conexión cifradas.
✓Configuración Web permite SQL Injection.
✓Usuarios de prueba en producción.
✓Base de datos sin protección o semilla.
✓Datos sensibles en base de datos :
✓Ley 25326 Rep. Arg.,
✓HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance
Portability and Accountability Act, HIPAA),
✓PCI-DSS,
✓Otros.
Una oportunidad para
analizar las aplicaciones, es
testear si el
comportamiento de la
aplicación califica como
aplicación segura.
12. Distribución de Android
Android es un sistema operativo móvil desarrollado por Google, basado en Kernel de Linux y otros software
de código abierto
14. Android : Algunos puntos débiles.
• Podemos vulnerar el S.O sin ser root.
• Aplicaciones con permisos elevados.
• Aplicaciones alojan información en sectores si protección.
• Vulnerabilidades del S.O.
• Antimalware ponen pesados los S.O. y no lo instalan.
• Fácil integración con dispositivos de terceros. Facilidad de uso +
Facilidad de configuración.
• Acceso a códigos fuentes de aplicaciones de dudosa reputación. (Ej.:
https://github.com/).
15. Evaluando una aplicación móvil
Apostar a la calidad de seguro también es calidad.
2020 – V Edición
16. Análisis aplicaciones móviles
✓Análisis estático.
✓Análisis dinámico.
✓Análisis tráfico de red.
Desarrollo Área Seguridad
Analizar aplicaciones
desarrolladas internamente
o por terceros
Analizar aplicaciones
adquiridas por la compañía
AMBITO DE APLICACION
19. ¿Cómo podemos testear?
• No hay presupuesto no es una excusa.
• OWASP provee metodología de evaluación. VER PLANILLA.
• Uso de herramientas Open-Source:
• MobSF
• Qark
• Mara
• Drozer
20. MobSF
✓ Información del archivo
✓ Información de la aplicación
✓ Posibles elementos vulnerables
✓ Naturaleza del código
✓ Análisis del código decompilado
✓ Información del certificado
✓ Listado de permisos
✓ Extras de seguridad
DEMO