Auditorías de Apps móviles

Auditorías de Apps móviles

Tarlogic ofrece un conjunto completo de pruebas de seguridad y privacidad desarrolladas especialmente para la ejecución de auditorías de aplicaciones móviles

Contacto
objetivos de la revisión de seguridad de aplicaciones móviles

Objetivos de las auditorías de apps móviles

El mundo en el que vivimos evoluciona constantemente y las tecnologías junto a él. Actualmente, es innegable pensar que podemos convivir sin ella. Es por esto, que cada vez más tenemos los dispositivos móviles más cerca de nuestras vidas, en donde trabajamos con multitud de aplicaciones tanto en el sistema operativo Android como iOS.

Cada día se instalan miles de aplicaciones que trabajan con nuestros datos personales. Es por esto que las aplicaciones deben ser sometidas a una auditoría de seguridad, para verificar que se están siguiendo las mejores prácticas de código seguro y se cumple con la ley de protección de datos actual, entre otras, como PSD2 en aplicaciones bancarias.

El objetivo de nuestras auditorías de apps móviles es detectar todas las vulnerabilidades que puedan afectar a las aplicaciones que nuestros clientes hayan desarrollado, evitando que los cibercriminales puedan aprovecharse de los agujeros de seguridad existentes para comprometer nuestros dispositivos móviles y sufrir un robo de datos.

Beneficios de las auditorías de apps móviles

Algunos de los beneficios de las auditorías de apps móviles son:

  • Identificación de vulnerabilidades en los mecanismos de autenticación de la aplicación.
  • Detección de almacenamiento de información sensible en el contexto de la aplicación.
  • Identificación de malas prácticas en el uso de Webviews.
  • Detección de mecanismos IPC vulnerables en sistemas Android.
  • Identificación de malas prácticas en las conexiones de red.
  • Identificación y evasión de restricciones en el contexto de la aplicación.
  • Detección del uso incorrecto de algoritmos de cifrado en el keychain/keystore.
  • Tests de intrusión en el backend de los aplicativos.
  • Recomendaciones detalladas en la mitigación de las vulnerabilidades.
Beneficios de los servicios de auditoria de aplicaciones móviles

Descripción general

El tráfico de aplicaciones aumenta día a día, a la vez que nuevos fallos de seguridad aparecen frecuentemente en las noticias. Para evitar esta situación, nuestro equipo evaluará las aplicaciones siguiendo estándares oficiales. Nuestras auditorías de apps móviles son totalmente adaptables a las necesidades del cliente.

Se analizarán las aplicaciones móviles con el objetivo de ayudar a identificar y solucionar cualquier problema de seguridad que pueda comprometer tanto la integridad del negocio como la información de los clientes.

Metodología OWASP MASVS/MSTG

El estándar MASVS (Mobile Application Security Verification Standard) cuenta con 8 dominios, que abarcan todos los requerimientos que debería cumplir una aplicación móvil Android o iOS, según el nivel de verificación (MASVS-L1 y MASVS-L2), así como un conjunto de requisitos de resistencia a la ingeniería inversa (MASVS-R).

  • V1: Requisitos de Arquitectura, Diseño y Modelado de Amenazas
  • V2: Requerimientos de Almacenamiento de datos y Privacidad
  • V3: Requerimientos de Criptografía
  • V4: Requerimientos de Autenticación y Manejo de Sesiones
  • V5: Requerimientos de Comunicación a través de la red
  • V6: Requerimientos de Interacción con la Plataforma
  • V7: Requerimientos de Calidad de Código y Configuración del Compilador
  • V8: Requerimientos de Resistencia ante la Ingeniería Inversa

Además, para ayudar en la identificación y detección de dichos requerimientos a nivel técnico, desde Tarlogic Security hacemos uso de la Guía MSTG (Mobile Security Testing Guide), la cual sirve para analizar y evaluar los riesgos asociados al MASVS.

La tecnología de las aplicaciones móviles Android e iOS avanza rápidamente, y con ello las posibles amenazas a la seguridad y privacidad de los usuarios de éstas. Para estar al día, Tarlogic ofrece un conjunto completo de pruebas de seguridad y privacidad desarrolladas especialmente para aplicaciones móviles.