1 de cada 3 apps bancarias en iOS son inseguras
La seguridad de las aplicaciones de banca móvil ha mejorado en los últimos dos años, pero todavía hay aspectos que se pueden enriquecer. Ariel Sánchez, consultor de seguridad de IOActive, ha retomado la investigación realizada por primera vez hace dos años sobre este tema para ver si ha habido alguna mejora. Aunque la seguridad ha aumentado durante este tiempo, muchas aplicaciones siguen siendo vulnerables. Al Igual que en aquella ocasión, la investigación incluyo 40 aplicaciones de banca móvil para iOS que se encuentran en uso actualmente en todo el mundo. Sánchez se limitó a buscar debilidades o vulnerabilidades en cuanto a la seguridad de los usuarios sin incluir ninguna prueba con respecto a los servidores.
No se nombra a las aplicaciones o los bancos que realizaron las aplicaciones que se probaron. La metodología que utilizó Sanchez para realizar estas pruebas puede encontrarse en su blog.
En los resultados, cinco de las 40 aplicaciones auditadas fallaron al validar la autenticidad de los certificados SSL, lo que las hace susceptibles a ataques MiTM (Man-in-The-Middle). Y más de un tercio (35%) de las aplicaciones no contaban con ningún enlace SSL. Esta falla podría permitir a un atacante interceptar el flujo de información que se envía e inyectar código JavaScript/HTML arbitrario en un intento de crear una señal falsa de acceso o estafas similares.
Adicionalmente, 30% de ellas fallaron al validar datos entrantes, dejándolas potencialmente vulnerables a inyecciones JavaScript. Los resultados pueden no parecer impresionantes, pero al menos son una mejora respecto a los resultados en 2013.
La prueba también cubrió análisis binario y sistemas de archivos, esta fase de la auditoria reveló que el 15% de las aplicaciones almacenan información confidencial sin cifrar, tal como detalles acerca de las cuentas bancarias de los clientes y el historial de transacciones, en el sistema de archivos a través de bases de datos SQLite u otros archivos de texto simple.
“La mayoría de las aplicaciones han aumentado la seguridad en el transporte/acarreo de datos mediante la correcta validación de certificados SSL o eliminando el tráfico de spam.” Concluyó Sánchez. “Esto ayuda a mitigar el riesgo de los usuarios a ser expuestos a ataques MiTM.”
“Aunque los números se han reducido en general, todavía hay una gran cantidad de aplicaciones almacenando información de manera insegura en su sistema de archivos. Muchas de ellas son aun susceptibles a los ataques dirigidos al usuario.” Agregó.
Sánchez mencionó que algunas de las aplicaciones proporcionan soluciones de autenticación alternativas, con la mayoría confiando simplemente en un nombre de usuario y una contraseña. Sólo 17 de las 40 (42.5%) aplicaciones previeron soluciones de autenticación alternativas para mitigar el riesgo de filtración de credenciales de autenticación del usuario.
En conclusión, muchas aplicaciones de bancanet que utilizamos a diario en nuestros smartphones aún tienen mucho rango de mejora y aunque este estudio se centró en aplicaciones para la plataforma móvil de Apple no dudamos que también las encontradas para Android sufran vulnerabilidades muy similares (y esto en aplicaciones de instituciones bancarias de Estados Unidos, no quiero ni imaginar como están las de los bancos que operan en México y Latinoamérica), esperemos que las instituciones y desarrolladores tengan en cuenta estudios como estos para ofrecer una mayor seguridad en temas tan delicados para el usuario.
Con información de IOActive.
