OWASP Mobile Top 10Riesgos de Seguridad

Alberto Wilson

alwilson@deloitte.com

#GX2408

Mauro Flores

mauflores@deloitte.com

¿De qué vamos a hablar?

• Un poco de contexto

• OWASP y sus proyectos

• El famoso Top 10

• Algunas recomendaciones

• Conclusiones

• ¿Preguntas?

UN POCO DE CONTEXTO

¿Qué se está usando?

¿como viene evolucionando?

Symbian, 27.4

Android, 36

RIM, 12.9

iOS, 16.8

Microsoft, 3.6

Otros, 3.3

Symbian, 63.5

Android, 0

RIM, 9.6

iOS, 2.7

Microsoft, 12

Otros, 12.1

2007 Segundo cuarto 2011Unidades: 428.7 M

Fuente: Gartner

OWASP Y SUS PROYECTOS

¿Qué es OWASP?

• Open Web Application Security Project

• Organización mundial, sin fines de lucro

• Busca promover la seguridad y generar conciencia

• En el 2010 se formó el Capítulo Uruguay

Proyectos

• Guía de desarrollo seguro y guía de revisión de código

• WebScarab, WebGoat, GoatDroid

• Top 10 Vulnerabilidades Web

• Metodología ASVS

• Top 10 Vulnerabilidades Disp. Móviles (Setiembre 2011)

• Y muchos mas…

EL TOP 10VULNERABILIDADES EN DISPOSITIVOS MÓVILES

Top 10 - La lista

Almacenamiento

inseguro1

Transmisión

insegura de datos2

Fuga de

información

personal3

Autenticación

débil4

Errores en asignación

de privilegios5

Inyección del lado

del cliente6

Denial of Service7

Código malicioso8

Buffer overflow9

Errores en

controles del

servidor10

Almacenamiento inseguro

1

2

3

4

5

6

7

8

9

10

¿Qué almacenamos?

•Información personal, como si fuera un pendrive

•Archivos temporales de navegación, GPS, cachés

•Cookies de sesión

•Adjuntos de los mails, fotos

•¿Cual es el problema?

Almacenamiento inseguro

1

2

3

4

5

6

7

8

9

10

•Por lo general, no ciframos la información

•Vulnerabilidades en los distintos protocolos de transferencia, Bluetooth

•El dispositivo puede caer en manos ajenas

Transmisión insegura de datos

1

2

3

4

5

6

7

8

9

10

• Básicamente, ausencia de cifrado en la transmisión de los datos

•Vía HTTP, Correo, SMS, etc

•Confiar demasiado en la red celular

•Ataques al navegador, vulnerabilidades SSL•Certificados no confiables•Ataque a DigiNotar y Comodo

Transmisión insegura de datos

1

2

3

4

5

6

7

8

9

10

• Algunas aplicaciones de Android, no cifran la comunicación con el server:

•Twitter•Facebook•Google Calendar•Picasa

•Conexión a redes WiFi sin cifrar

• Tecnología NFC, en sí no cifra, hay que encapsular por SSL, no es posible MiTM

Fuga de información personal

1

2

3

4

5

6

7

8

9

10

•Información personal almacenada:•Agenda de contactos•Citas•Fotos (personas y documentos), archivos, etc.

•Lo mas riesgoso en este caso, es dejar el celular en manos ajenas:

•Robo o extravío•Soporte Técnico•Para pasar música•Se lo prestas al sobrino de un amigo para que

instale la última aplicación•Backups sin proteger en alguna PC

Autenticación débil

1

2

3

4

5

6

7

8

9

10

•Fuerza bruta a claves débiles:

•PIN de la SIM

•Contraseñas de bloqueo

•Claves para conexiones Bluetooth

•Passphrases de cifrado

•Errores de implementación en mecanismos de autenticación

Errores en asignación de privilegios

1

2

3

4

5

6

7

8

9

10

•Privilegios ajustados incorrectamente•Por ejemplo sobre archivos

•Errores de implementación:•En el sistema operativo•En las aplicaciones

• Aplicaciones que requieren más privilegios de los necesarios

Inyección del lado del cliente

1

2

3

4

5

6

7

8

9

10

•Al igual que en el mundo Web•ejecución de código en los navegadores

•Aplicaciones vulnerables•Pueden impactar en el servidor

•QRCodes•Algunas aplicaciones dirigen al usuario

directamente•Ataques de Phishing

Denial of Service

1

2

3

4

5

6

7

8

9

10

•QRCodes como vector de ataque

•Bluetooth

•Bruteforcing y bloqueo de dispositivo

• Compromiso del código de aplicaciones de prevención de robo.

Código malicioso

1

2

3

4

5

6

7

8

9

10

Descarga

DesarrolloOficial

Descarga

AppStore de Tercero

Sube versióncon Malware

Envío de Información

Código malicioso

1

2

3

4

5

6

7

8

9

10

•QRCodes como vector de ataque

•Problemas de certificados y MiTM

•Aplicaciones sin firmar

•Instalación manual de malware

•Servidor que distribuye aplicación comprometido

Buffer overflow

1

2

3

4

5

6

7

8

9

10

•Errores de implementación•En el sistema operativo•En las aplicaciones

• Se pueden comprometer archivos y recursos internos del sistema

Errores en controles del servidor

1

2

3

4

5

6

7

8

9

10

•Validación del cliente por el servidor y viceversa

•Ataques MiTM

•Validación de la información enviada desde el dispositivo movil

•Se puede comprometer el servidor

ALGUNAS RECOMENDACIONES

Algunas recomendaciones

Desarrollar aplicaciones siguiendo las mejores prácticas, basarse en las guías de OWASP, hacer pruebas de seguridad de las aplicaciones y los

dispositivos

Tener cuidado con las aplicaciones que se instalen, verificar que estén firmadas y validar la AppStore, verificar certificados

Estos dispositivos son personales, hay que mantenerlos con uno y cuidarlos (VALOR = COSTO DISPOSITIVO + INFORMACIÓN)

En lo posible, no almacenar información sensible en celulares, tablets y notebooks, no conectarse a redes WiFi no cifradas

CONCLUSIONES

Conclusiones

• A los dispositivos móviles, se les dá mas confianza de la que merecen, cuando debería ser todo lo contrario

• El celular es un ambiente dinámico y como tal hay que incorporar medidas extras de seguridad

• La gente es más propensa a instalar aplicaciones “curiosas”, sin importar su procedencia

• El celular es un punto de acceso a la información de nuestras vidas, y está muy expuesto

• Esta película, ya la vimos…

Conclusiones

• … debemos cambiarle el final!

• Hay que usarlo con conciencia

• Considerar las vulnerabilidades comunes para otras plataformas y trasladar los mecanismos de protección al mundo móvil

• El desarrollo debe considerar medidas extras de seguridad para estos dispositivos

Cuanto más smart el

device, más smart

debemos ser

nosotros

”

Links de interés

Proyecto OWASP:•https://www.owasp.org/index.php/Main_Page

OWASP “Mobile Security Project”:•https://www.owasp.org/index.php/OWASP_Mobile_Security_Project

Deloitte Uruguay•http://www.deloitte.com/view/es_UY/uy/servicios/consultora/estrategiaoperaciones/index.htm

NIST – “Guide to bluetooth security”:•http://csrc.nist.gov/publications/nistpubs/800-121/SP800-121.pdf

NIST – “Cell Phone and PDA Security”•http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf

Vulnerabilidades en Google ClientLogin•http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html

WhisperSys – Framework de Seguridad para Android•http://www.whispersys.com/

¡GRACIAS!

¿PREGUNTAS?

Mauro Floresmauflores@deloitte.com@mauro_fcib

Alberto Wilsonalwilson@deloitte.com@v8vito

@DeloitteUYSeg