iOS sigue teniendo que mejorar su seguridad bancaria

iOS seguridad

Las aplicaciones bancarias de iOS tienen mejor seguridad si las comparamos a 2013, pero sigue sin ser suficiente. Los desarrolladores siguen suspendiendo en HTTPS y en mantener limpios los registros. Durante los últimos tres años, el investigador de seguridad Ariel Sanchez de IOActive, ha estado realizando auditorías a aplicaciones bancarias móviles de iOS contra un set de problemas relacionados con la seguridad. Estos tests includen buscar tráfico en cleartext (sin encriptar, es decir, que cualquiera que lo vea lo pueda leer) certificados SSL que no estén debidamente validados, manejos de sesión defectuosos, comprobaciones de protección contra compilaciones, problemas con UIWebViews, problemas al registrarse, análisis de archivos binarios y búsqueda de prácticas inseguras de guardado de datos. Las aplicaciones siguen suspendiendo sus técnicas HTTPS. Según su estudio más reciente, de las 40 aplicaciones bancarias móviles para iOS que ha examinado, sólo el 12’5 por ciento fue incapaz de validar sus certificados SSL antes de comenzar sus conexiones HTTPS, lo que dejaría a los usuarios expuestos a un ataque MitM (Man in the Middle). Adicionalmente, el 35 por ciento de las aplicaciones contenía también enlaces dentro de su contenido, que no se manejaban vía HTTPS, lo que espone a sus usuarios a inyecciones de código HTML o JavaScript arbitrarias. El 30 por ciento de las aplicaciones tampoco validaba los datos entrantes, lo que significa que los atacantes pueden enviar código JavaScript falso y atacar al usuario a través de un componente UIWebView. La parte buena de toso esto es que más aplicaciones (actualmente el 40 por ciento de ellas) han comenzado a proporcionar soluciones alternativas de autentificación de usuario. La parte mala es que el 42’5 por ciento de las aplicaciones también expone algún tipo de información privada a través de los registros.

Apple iPod cumple hoy quince años, ¡felicidades!

iOS seguridadLos desarrolladores siguen dejando un montón de pistas en su código

Si nos trasladamos al análisis de binarios y archivos de sistema, Mr Sanchez también ha descubierto que el 7’5 por ciento de las aplicaciones todavía no tienen ningún tipo de protección contra el compilado, lo que permite a los atacantes descompilarlos fácilmente y acceder a su código. El 15 por ciento de las aplicaciones tienen protección contra jailbreak, y el 17’5 por ciento de las aplicaciones esconden algún tipo de información en sus archivos binarios. Además de esto, Mr Sanchez todavía descubrió que el 15 por ciento de las aplicaciones todavía conservan información importante sin encriptar en el teléfono, como una base de datos SQLite o un archivo de texto plano. Todas estas estadísticas eran peores en 2013, lo cual es una buena señal, pero siguen sin ser satisfactorias tras tantos años de promover la creación de buen código y las técnicas de seguridad para los desarrolladores de iOS.iOS seguridad

“Aunque la seguridad haya mejorado en general los últimos dos años, sigue sin ser suficiente, y muchas aplicaciones continúan siendo vulnerables,” ha terminado diciendo Mr Sanchez.

iOS seguridad

Compartir
(Redactora Senior) Apasionada de la telefonía móvil, fan de Android y loca por todos los gadgets que hacen tu vida un poco más cómoda. Escritora a tiempo completo, profesora de inglés de vez en cuando. Leo y escribo desde antes de saber cómo hacer cada cosa. Amante de la cultura, los viajes, la tecnología y los idiomas. Aventurera en la cocina. Geek (¿o freak?) de los videojuegos, cómics y la animación. Traductora en los ratos libres. E-Mail: laura(arroba)portalhoy.com

Déjanos tu comentario

avatar
wpDiscuz