Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Análisis de Aplicaciones móviles - aspectos de seguridad

333 views

Published on

Expositor: Enrique Dutra

CONTENIDO DEL WEBINAR

Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Análisis de Aplicaciones móviles - aspectos de seguridad

  1. 1. Análisis de aplicaciones móviles - aspectos de seguridad. Enrique G. Dutra 2020 – V Edición
  2. 2. 2 Enrique “Quique” Dutra www.argentesting.com • Socio Gerente de Punto Net Soluciones SRL (empresa de 20 años) • MVP desde 2006, actualmente MVP Cloud and Datacenter Management 2019-2020. • Auditor Lider ISO/IEC 27001 por BSI. • 32 años de experiencia en Seguridad de la Información/ Informática. • Responsable del área de Seguridad en compañías que han tercerizado el servicio en Punto Net Soluciones SRL. • Lidera equipo que realiza unos 500 test de vulnerabilidad anuales. • Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT, Evaluador Norma ISO/IEC 27005 y 27103. • Instructor en CPCIPC de la ESAPI. • Perito/Analista Forense. • Disertante en eventos en LATAM (BRA-UY-PER-ARG). • Lidera área Q&A de Seguridad en app moviles. • Twitter: @egdutra / @puntonetsol • Linkedin : https://www.linkedin.com/in/enriquedutra/ • http: www.puntonetsoluciones.com.ar
  3. 3. AGENDA •Problemática actual •Arquitectura Android •Metodología de evaluación de software •OWASP • Metodología. • Análisis estático vs dinámico. • Herramientas y soluciones.
  4. 4. Situación actual Exposición de los servicios y datos a Internet. 2020 – V Edición
  5. 5. 60 segundos….
  6. 6. De la PC al Celular
  7. 7. Celulares y las aplicaciones • Siempre hay una aplicación que sirve para una situación. • No se analiza que hace la aplicación. • No se revisa los permisos que nos pide la aplicación. • La aplicación pide usuario y contraseña y la integran con alguna red social. • No hacen backup de los datos. • Envían y reciben datos sensibles. • Hay dispositivos que no poseen patrones o pines de acceso. • Acceso a las aplicaciones, redes sociales, correos, sin pedir un dato que valide el usuario. El usuario confía ciegamente en la aplicación y NO analiza los riesgos de su uso.
  8. 8. Aplicaciones Infectadas en 2019 https://blogs.quickheal.com/quick-heal-reports-29-malicious-apps-10-million-downloads-google-play-store/
  9. 9. Nomofobia: miedo de perder el celular 77% de las personas que posee un teléfono inteligente padece 'nomofobia'
  10. 10. Desarrollos sin el estado de “seguro” ✓Framework desarrollo instalado en producción. ✓Ausencia de ambientes desarrollo / testing. ✓Ausencia de validaciones en formularios Web. ✓Fallas en validación/auntenticación. ✓Software con ”hardcode”. ✓Ausencia de conexión cifradas. ✓Configuración Web permite SQL Injection. ✓Usuarios de prueba en producción. ✓Base de datos sin protección o semilla. ✓Datos sensibles en base de datos : ✓Ley 25326 Rep. Arg., ✓HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), ✓PCI-DSS, ✓Otros. Una oportunidad para analizar las aplicaciones, es testear si el comportamiento de la aplicación califica como aplicación segura.
  11. 11. Arquitectura Android Plataforma con mayor difusión 2020 – V Edición
  12. 12. Distribución de Android Android es un sistema operativo móvil desarrollado por Google, basado en Kernel de Linux y otros software de código abierto
  13. 13. Arquitectura Android
  14. 14. Android : Algunos puntos débiles. • Podemos vulnerar el S.O sin ser root. • Aplicaciones con permisos elevados. • Aplicaciones alojan información en sectores si protección. • Vulnerabilidades del S.O. • Antimalware ponen pesados los S.O. y no lo instalan. • Fácil integración con dispositivos de terceros. Facilidad de uso + Facilidad de configuración. • Acceso a códigos fuentes de aplicaciones de dudosa reputación. (Ej.: https://github.com/).
  15. 15. Evaluando una aplicación móvil Apostar a la calidad de seguro también es calidad. 2020 – V Edición
  16. 16. Análisis aplicaciones móviles ✓Análisis estático. ✓Análisis dinámico. ✓Análisis tráfico de red. Desarrollo Área Seguridad Analizar aplicaciones desarrolladas internamente o por terceros Analizar aplicaciones adquiridas por la compañía AMBITO DE APLICACION
  17. 17. Análisis estático
  18. 18. Análisis dinámico
  19. 19. ¿Cómo podemos testear? • No hay presupuesto no es una excusa. • OWASP provee metodología de evaluación. VER PLANILLA. • Uso de herramientas Open-Source: • MobSF • Qark • Mara • Drozer
  20. 20. MobSF ✓ Información del archivo ✓ Información de la aplicación ✓ Posibles elementos vulnerables ✓ Naturaleza del código ✓ Análisis del código decompilado ✓ Información del certificado ✓ Listado de permisos ✓ Extras de seguridad DEMO
  21. 21. 21 Apostar a la calidad de Seguridad también es calidad.
  22. 22. Enrique G.Dutra edutra@puntonetsoluciones.com.ar @egdutra ¿Consultas?

×