Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Aplicaciones Móviles
Maestría en Seguridad Informática
Agenda
3. Mobile Top 10 OWASP
4. Buenas Prácticas
VECTORES DE ATAQUE
• Esta categoría cubre el uso • La valoración y por ende el vector de • Esta categoría cubre los
INSEGUROS
ALMACENAMIENTO DE DATOS
USO INADECUADO DE LA PLATAFORMA
COMUNICACIÓN INSEGURA
ataque varía mucho. Desde aplicaciones
indebido de características de de terceros que utilizan caché, cookies y protocolos inseguros de
la plataforma o el no uso de otra información para recopilar datos enlace, versiones SSL
los controles de seguridad, protegidos, hasta que un adversario incorrectas, negociación
pueda obtener físicamente el dispositivo
permisos de plataforma, uso y ver información, debe manejar el débil, la comunicación sin
indebido de TouchID, almacenamiento de datos correctamente cifrar de datos sensibles, etc.
servicios de contraseñas de varias maneras. Esto incluye la Por lo que hay que
autenticación, el cifrado y el manejo
(KeyChain IOS) o algún otro adecuado de todas las funciones de comprobar que los
control de seguridad que sea almacenamiento en caché. desarrolladores (a menudo
parte del sistema operativo • Esta categoría cubre los protocolos muy preocupados en cuanto
inseguros de enlace, versiones SSL
móvil. Lo que se valora en el incorrectas, negociación débil, la
a la protección del
ataque es la seguridad de comunicación sin cifrar de datos procedimiento de
cualquier API expuesta. sensibles, etc. Por lo que hay que autenticación y los datos en
comprobar que los desarrolladores (a
menudo muy preocupados en cuanto a la
reposo) hayan implementado
protección del procedimiento de un cifrado de lo datos que se
autenticación y los datos en reposo) transmiten correctamente.
hayan implementado un cifrado de lo
datos que se transmiten correctamente.
• Esta categoría captura las • El uso incorrecto del cifrado • Esta es una categoría para
AUTENTICACIÓN INSEGURA
AUTORIZACIÓN INSEGURA
CRIPTOGRAFÍA INSUFICIENTE
nociones de autenticación es extremadamente común capturar cualquier fallo en la
del usuario final o gestión de en las aplicaciones móviles. autorización (por ejemplo,
sesión incorrecta. Esto puede Los algoritmos de cifradas decisiones de autorización en
incluir: débiles, así como el el lado del cliente,
• No identificar al usuario en procedimiento de cifrado / navegación forzada, etc.). Es
descifrado defectuoso, distinto de los problemas de
absoluto cuando sea
necesario pueden ser fácilmente autenticación (por ejemplo,
explotados y por ende lo que inscripción de dispositivos,
• No mantener la identidad del
se valorara son los problemas identificación de usuarios,
usuario cuando se requiere etc.).
• Debilidades en el manejo de donde se intentó la
criptografía, pero no se hizo
sesiones
correctamente.
INGENIERIA INVERSA
FUNCIONALIDAD EXTRAÑA
nivel de código en el incorrecta utilización fuente, bibliotecas, los
https://books.nowsecure.com/secure-mobile-development/
en/ios/
use-the-keychain-carefully.html
Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Implement secure data storage
Transmit and display but do not persist to memory.
Ensure that an analog leak does not present itself
where screenshots of the data are written to disk. Store
only in RAM (clear at application close).
https://books.nowsecure.com/se
Almacenamiento cure-mobile-development/en/se
nsitive-data/
De Datos Inseguros
implement-secure-data-storage.
– Mejores Prácticas html
https://books.nowsecure.com/secure-mobile-development
/en/ios/use-the-keychain-carefully.html
Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Implement secure transmission of
sensitive data
Comunicación Best practices call for app providers to use SSL/TLS
effectively to secure the transmission of passwords, login
Insegura– IDs, and other sensitive data over the network, and even
go further and leverage app-layer encryption to protect
https://books.nowsecure.com/secure-mobile-developm
Prácticas ent/en/sensitive-data/
implement-secure-network-transmission-of-sensitive-
data.html
Mejores nt/en/sensitive-data/implement-secure-data-storage.ht
ml
Prácticas
Insegura – https://
books.nowsecure.com/secure-mobile-development/en/serv
Mejores ers/
web-server-configuration.html
Prácticas
Código En El https://books.nowsecure.com/secure-mobile-d
evelopment/en/coding-practices/
Lado Del test-third-party-libraries.html
Cliente –
Mejores
Prácticas
https://books.nowsecure.com/secure-mobile-development/en
/coding-practices/anti-tamper-techniques.html
Alteración Del
Example: PokemonGO
Código – Buenas
● 50M downloads in
19 days on
Android alone
Ingeniería https://books.nowsecure.com/secure-mobile-development/en/codin
g-practices
/ code-complexity-and-obfuscation.html
Inversa – Buenas
Mejores ● Hackers
mobile app
decompiled
and
Prácticas
recompiled it so they didn’t
have to pay for premium
content
Source: Forbes
https://books.nowsecure.com/secure-mobile-development/en/caching-log
ging/
Funcionalidad carefully-manage-debug-logs.html