Prueba si son seguras tus aplicaciones (todas) con el servicio Mobile X-Ray
¿Están seguras las aplicaciones móviles que está utilizando para almacenar o manejar tus monederos de criptomonedas, rastrear el precio de las divisas o interactuar con los intercambiadores de criptomonedas? A juzgar por los resultados de una reciente auditoría realizada por High-Tech Bridge, las posibilidades son escasas.
El equipo de seguridad ha puesto 90 aplicaciones de Android disponibles para descargar en Google Play a traves del wringer, es decir, su servicio Mobile X-Ray que realiza pruebas dinámicas, estáticas e interactivas de las aplicaciones móviles para vulnerabilidades de seguridad y privacidad, y los resultados son desalentadores.
Resultados de la auditoría
Las aplicaciones en cuestión se dividieron en tres grupos: aplicaciones con hasta 100.000 descargas, hasta 500.000 descargas y más de 500.000 descargas. En las tres categorías, las vulnerabilidades más frecuentes son el uso inadecuado de la plataforma, el almacenamiento inseguro de datos y la insuficiente criptografía.
En la primera categoría (> 100.000 descargas), el 87% de las aplicaciones eran vulnerables a ataques MITM que exponían datos de la aplicación a intercepción, el 66% contenía datos confidenciales codificados incluyendo contraseñas o claves API, y el 80% enviaba (potencialmente) datos confidenciales sin encriptación sobre HTTP (datos en tránsito).
En la segunda categoría (> 500.000 descargas), el 37% de las aplicaciones eran vulnerables a los ataques MITM, el 34% de las aplicaciones contenían datos confidenciales codificados y el 37% no usaban HTTPS.
En la tercera categoría (> 500,000 descargas), el porcentaje de aplicaciones con estas vulnerabilidades fue del 17% (vulnerables a MITM), 44% (datos codificados) y 66% (sin HTTPS). Muchas de las aplicaciones en todas las categorías usan cifrado obsoleto, y la mayoría no tenían ningún refuerzo o protección de su back-end (API o servicios web). "Desafortunadamente, no estoy sorprendido con los resultados de la investigación", señaló Ilia Kolochenko, CEO y fundadora de High-Tech Bridge.
"Durante muchos años, las compañías de seguridad cibernetica y los expertos independientes notificaron a los desarrolladores de aplicaciones móviles los riesgos de un desarrollo 'ágil' que generalmente no implica un marco para asegurar un diseño seguro, tecnicas seguras de codificación y endurecimiento o pruebas de seguridad de aplicaciones".
"Sin embargo, esto es solo la punta del iceberg". Una aplicación móvil generalmente contiene vulnerabilidades mucho menos explotables que su back-end. La debilidad en una aplicación móvil puede conducir al incumplimiento del dispositivo móvil o sus datos, mientras que una API vulnerable en el back-end puede permitir a los atacantes robar la integridad de los datos de los usuarios".
¿Cómo puedes verificar si son seguras las aplicaciones que usas?
El servicio Mobile X-Ray de la empresa es gratuito para que cualquiera lo use: sube un paquete de aplicación móvil (para Android o iOS) y la herramienta lo probará y proporcionará los resultados. Por supuesto, no tiene que ser una aplicación de criptomoneda, puede ser probada cualquier tipo de aplicación. La galardonada ImmuniWeb® Mobile ofrece la prueba manual más completa de la aplicación móvil y su back-end, mejorada por tecnología patentada de aprendizaje automático. Cualquiera de las aplicaciones utilizadas en la investigación, así como cualquier otra aplicación, se puede volver a probar a traves del servicio gratuito (no es necesario registrarse) de High-Tech Bridge.
Con los resultados a mano, puedes optar por implementar precauciones de seguridad adicionales al usar las aplicaciones. Por ejemplo, puedes tomar la decisión consciente de evitar usarlas cuando te encuentres en una red inalámbrica no segura (por ejemplo, la mayoría de los Wi-Fi públicos de uso gratuito) o usar siempre una VPN (para encriptación/cifrado agregado).
Con el mercado de criptomonedas en alza y el hecho de que la criptomoneda robada es, en la mayoría de los casos, imposible de recuperar, los ciberdelincuentes se están aprovechando del caos actual de muchas maneras: a traves de ICOs falsas y comprometidas, malware para robar carteras y sigiloso criptominado en el navegador, explotando vulnerabilidades en ofertas de billeteras, golpeando plataformas blockchain, criptomonedas y plataformas de crowdfunding, explotando entornos de computación en la nube no segura para la minería de criptomonedas, estafadores de usuarios con servicios falsos de multiplicadores de Bitcoin, aplicaciones falsas de comercio de criptomonedas, etc.