Auditorías de Apps móviles

Auditorías de Apps móviles

Tarlogic ofrece un conjunto completo de pruebas de seguridad y privacidad desarrolladas especialmente para la ejecución de auditorías de aplicaciones móviles

Contacto
objetivos de la revisión de seguridad de aplicaciones móviles

Objetivos de las auditorías de apps móviles

El mundo en el que vivimos evoluciona constantemente y las tecnologías junto a él. Actualmente, es innegable pensar que podemos convivir sin ella. Es por esto, que cada vez más tenemos los dispositivos móviles más cerca de nuestras vidas, en donde trabajamos con multitud de aplicaciones tanto en el sistema operativo Android como iOS.

Cada día se instalan miles de aplicaciones que trabajan con nuestros datos personales. Es por esto que las aplicaciones deben ser sometidas a una auditoría de seguridad, para verificar que se están siguiendo las mejores prácticas de código seguro y se cumple con la ley de protección de datos actual, entre otras, como PSD2 en aplicaciones bancarias.

El objetivo de nuestras auditorías de apps móviles es detectar todas las vulnerabilidades que puedan afectar a las aplicaciones que nuestros clientes hayan desarrollado, evitando que los cibercriminales puedan aprovecharse de los agujeros de seguridad existentes para comprometer nuestros dispositivos móviles y sufrir un robo de datos.

Beneficios de las auditorías de apps móviles

Algunos de los beneficios de las auditorías de seguridad de apps móviles son:

  • Identificación de vulnerabilidades en los mecanismos de autenticación de la aplicación.
  • Detección de almacenamiento de información sensible en el contexto de la aplicación.
  • Identificación de malas prácticas en el uso de Webviews.
  • Detección de mecanismos IPC vulnerables en sistemas Android.
  • Identificación de malas prácticas en las conexiones de red.
  • Identificación y evasión de restricciones en el contexto de la aplicación.
  • Detección del uso incorrecto de algoritmos de cifrado en el keychain/keystore.
  • Tests de intrusión en el backend de los aplicativos.
  • Recomendaciones detalladas en la mitigación de las vulnerabilidades.
Beneficios de los servicios de auditoria de aplicaciones móviles

Auditoría de seguridad de aplicaciones móviles

El tráfico de aplicaciones aumenta día a día, a la vez que nuevos fallos de seguridad aparecen frecuentemente en las noticias. Para evitar esta situación, nuestro equipo evaluará las aplicaciones siguiendo estándares oficiales. Nuestras auditorías de aplicaciones móviles son totalmente adaptables a las necesidades del cliente.

Se analizarán las aplicaciones móviles con el objetivo de ayudar a identificar y solucionar cualquier problema de seguridad que pueda comprometer tanto la integridad del negocio como la información de los clientes.

Metodología OWASP MASVS/MSTG

El estándar MASVS (Mobile Application Security Verification Standard) cuenta con 8 dominios, que abarcan todos los requerimientos que debería cumplir una aplicación móvil Android o iOS, según el nivel de verificación (MASVS-L1 y MASVS-L2), así como un conjunto de requisitos de resistencia a la ingeniería inversa (MASVS-R).

  • V1: Requisitos de Arquitectura, Diseño y Modelado de Amenazas
  • V2: Requerimientos de Almacenamiento de datos y Privacidad
  • V3: Requerimientos de Criptografía
  • V4: Requerimientos de Autenticación y Manejo de Sesiones
  • V5: Requerimientos de Comunicación a través de la red
  • V6: Requerimientos de Interacción con la Plataforma
  • V7: Requerimientos de Calidad de Código y Configuración del Compilador
  • V8: Requerimientos de Resistencia ante la Ingeniería Inversa

Además, para ayudar en la identificación y detección de dichos requerimientos a nivel técnico, desde Tarlogic hacemos uso de la Guía MSTG (Mobile Security Testing Guide), la cual sirve para analizar y evaluar los riesgos asociados al MASVS.

La tecnología de las aplicaciones móviles Android e iOS avanza rápidamente, y con ello las posibles amenazas a la seguridad y privacidad de los usuarios de éstas. Para estar al día, Tarlogic ofrece un conjunto completo de pruebas de seguridad y privacidad desarrolladas especialmente para aplicaciones móviles.

Preguntas frecuentes sobre auditoría de seguridad de aplicaciones móviles

¿Qué es la auditoría de las aplicaciones móviles?

Actualmente se realizan más de 250 mil millones de descargas de aplicaciones al año a nivel mundial. Estas apps son usadas por los usuarios para comunicarse, realizar compras, ocio o trabajar. Es por esto y dado, que el usuario confía sus datos personales en el desarrollador de la aplicación, este debe velar por la seguridad de los datos del usuario.

Por este motivo, se debe realizar una auditoría de seguridad a la aplicación móvil, la cual ayudará a identificar las vulnerabilidades de las apps, mediante la realización de pruebas de seguridad siguiendo la metodología OWASP MASVS/MSTG, que ayudará en el análisis de la información sensible tanto almacenada en el dispositivo o en el binario de la aplicación como la compartida con el servidor del servicio. De este modo, por ejemplo, se podría determinar si ha sido posible tener acceso a datos de otro usuario sin la autorización requerida.

¿Cómo auditar una aplicación?

La realización de una auditoria a una aplicación móvil consiste en encontrar el número máximo posible de vulnerabilidades, que le puedan afectar. No solamente se trata de realizar pruebas de seguridad para revisar las conexiones con el servidor, mediante un análisis dinámico, sino que también, se debe realizar un análisis estático de la app, para comprobar que no se ha almacenado información sensible en el binario y que tampoco es posible evadir algún control de seguridad impuesto por el desarrollador.

Para la realización de la auditoria es necesario la utilización de un estándar como OWASP MASVS y su guía de pruebas MSTG, el cual establece dos niveles de seguridad (MASVS-L1 y MASVS-L2) y un conjunto de pruebas contra la ingeniería inversa (MASVS-R) para garantizar, que se ha realizado una auditoria integral de la aplicación.

¿Por qué es importante la seguridad de las aplicaciones móviles?

Cuando un usuario instala una aplicación, a priori no sabe la forma en que se tratan sus datos personales. Esto podría causar desconfianza al no sentirse seguro y proceder a desinstalarla.

Realizar una auditoría a una aplicación garantiza la máxima seguridad posible de las apps, ya que se han encontrado y mitigado todas las vulnerabilidades halladas en el momento de la realización de la misma, evitando así, que un usuario malintencionado pueda tener acceso no autorizado a los datos de los usuarios. Por tanto, la seguridad en las apps móviles es vital para cumplir con el tratamiento de los datos personales, lo que hará que el usuario se sienta más seguro y confiado sabiendo que su privacidad está a buen recaudo por parte del desarrollador.