ARTICULOS

• OWASP Top 10 de los riesgos de seguridad móvil (2014)

Les presentamos a continuacion un detalle de las

OWASP Top 10 de los riesgos de seguridad móvil (2014)

Controles débiles del lado servidor: los agentes de amenaza incluyen cualquier entidad que actúa como una fuente de entrada no confiable hacia un servicio de backend, servicio web o una aplicación web tradicional. Ejemplos de tales entidades: malware, un usuario o una aplicación vulnerable en el dispositivo móvil.

Almacenamiento inseguro de datos: los agentes de amenazas incluyen un adversario que ha alcanzado un dispositivo móvil perdido o robado, malware o cualquier aplicación que actúe en nombre del adversario y se ejecuta en el dispositivo móvil de la víctima.

Protección insuficiente en la capa de datos: al diseñar una aplicación móvil, comúnmente se intercambian datos entre el cliente y el servidor. Cuando la solución transmite sus datos, debe atravesar una red portadora entre el dispositivo móvil e Internet. Los agentes de amenaza podrían explotar vulnerabilidades para interceptar datos sensibles mientras estos están viajando a través de la red: un adversario comparte la red local comprometida o vigilada (por ejemplo el Wi-Fi), se controla la red de dispositivos (routers, torres celulares, proxy, etc.), o existe un malware en el dispositivo móvil.

Fuga de datos accidental: esta vulnerabilidad incluye malware móvil, versiones modificadas de aplicaciones legítimas o un adversario que tiene acceso físico al dispositivo móvil de la víctima.

Autenticación y autorización pobre: los ataques que aprovechan las vulnerabilidades de autenticación suelen hacerse a través de herramientas automatizadas ya disponibles o desarrolladas a medida.

Uso de criptografía débil: los agentes de amenazas incluyen cualquier persona con acceso físico a los datos que han sido cifrados incorrectamente, o a malware móvil actuando en nombre del adversario.

Inyección del lado del cliente: se considera que alguien puede enviar datos no confiables (por ej. scripts) a la aplicación móvil y mediante ellos tomar el control del dispositivo.

Decisiones de seguridad a través de entradas no confiables: incluye cualquier tipo de entidad que pueda enviar entradas no confiables a métodos sensibles de la aplicación móvil para que la misma realice acciones no deseadas.

Manejo incorrecto de sesiones: cualquier persona o cualquier aplicación móvil con acceso al tráfico HTTP/S, datos de cookies, etc. puede manipular una sesión establecida del usuario o establecer una nueva en su nombre.

Falta de protección en binarios: típicamente, un adversario podrá analizar y realizar ingeniería inversa del código de una aplicación móvil, luego modificarlo para realizar algunas funciones ocultas.