Ejemplos de seguridad en aplicaciones moviles (IOS)

8,282 views
7,960 views

Published on

Ejemplos prácticos de vulnerabilidades en aplicaciones móviles en IOS

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
8,282
On SlideShare
0
From Embeds
0
Number of Embeds
5,413
Actions
Shares
0
Downloads
56
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ejemplos de seguridad en aplicaciones moviles (IOS)

  1. 1. Alejandro Ramos - @aramosf www.securitybydefault.com Oct/2013
  2. 2.  Datos en la propia aplicación móvil.  Ficheros de configuración, pj        plist Ficheros de bases de datos, pj SQLite Ficheros de diccionarios predictivos Capturas de pantalla Copiar y pegar Ficheros cacheados/temporales Ficheros de log/excepciones Esquemas de URL  Comunicación con servidores externos  DLC  Peticiones web  Peticiones DNS  Otros protocolos  Copia de la información en otros sistemas  iCloud  Backup en el PC
  3. 3.  Emuladores  SDK Android  IOS SDK (Sim ulador)  Móviles con máximos privilegios  Jailbreak iPhone  root en Android  Sistemas intermedios:  Capturar y modificar peticiones HTTP  Capturar peticiones DNS  Capturar otro tráfico, por ejemplo XMPP, RTSP, etc.
  4. 4.  Cinesa, aplicación para consultar cartelera en la red de cines.  Incluye tarjeta de fidelización virtual.  Permite consultar los puntos acumulados.  Requiere autenticarse con usuario y contraseña.  Escenario de riesgo: en una red wireless, el tráfico puede ser capturado.
  5. 5.  Runkeeper, aplicación para registrar actividades deportivas.  Permite interactuar y publicar en Twitter y Facebook los resultados de las actividades.  Manda a la consola de registros información de la configuración, incluido tokens de autenticación en otros servicios.  El registro puede ser accedido por otras aplicaciones.
  6. 6.  Dark Nebula es un juego de iPhone  Una navecita que debe superar niveles en el menor tiempo posible  Los niveles superados y la puntuación se almacenan en un archivo sin protección.  Riesgo bajo, ya que tan solo se modifican puntos y los niveles en este caso no son de pago
  7. 7.  Dropbox, conocida aplicación de almacenamiento en la nube  En su aplicación móvil permite proteger los datos con PIN.  El PIN se guarda en texto plano en un fichero de configuración.  El fichero puede ser accedido desde un PC (que haya sido emparejado previamente)
  8. 8.  Las sesiones se pueden utilizar para autenticarse desde otros dispositivos.  Ataque idéntico al robo de una cookie en un ordenador.  Los ficheros binarycookies almacenan el token en IOS.  Se pueden obtener sus valores.  Por lo que desde un PC en el que se emparejó el móvil, se puede acceder a Facebook sin usuario y contraseña.
  9. 9.  MobiSafe, aplicación para almacenar fotos, videos y documentos de forma segura en el móvil.  Los cifra, tanto en el móvil como en las copias de iTunes.  Solicita un PIN de acceso de 4 números.  Protecciones simples para evitar ataques de fuerza bruta  PIN falso para acceder a un contenido falso
  10. 10. Alejandro Ramos - @aramosf www.securitybydefault.com Oct/2013

×