SlideShare una empresa de Scribd logo

116 owasp mobile-top_10_security_risks

GeneXus, profile picture
GeneXus

El documento resume los 10 principales riesgos de seguridad móvil según OWASP, incluyendo almacenamiento inseguro, transmisión insegura de datos, fuga de información personal, autenticación débil, errores en asignación de privilegios, inyección del lado del cliente, denegación de servicio, código malicioso, desbordamiento de búfer y errores en controles del servidor. También ofrece algunas recomendaciones de seguridad para dispositivos móviles.

1 de 30
Descargado 36 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
OWASP Mobile Top 10 Riesgos de Seguridad Alberto Wilson Mauro Flores alwilson@deloitte.com mauflores@deloitte.com #GX2408
¿De qué vamos a hablar? • Un poco de contexto • OWASP y sus proyectos • El famoso Top 10 • Algunas recomendaciones • Conclusiones • ¿Preguntas?
UN POCO DE CONTEXTO
¿Qué se está usando? ¿como viene evolucionando? Microsoft, Otros, 3.3 3.6 Otros, 12.1 Microsoft, Symbian, 12 iOS, 16.8 27.4 iOS, 2.7 RIM, Symbian, RIM, 12.9 9.6 63.5 Android, 36 Android, 0 2007 Segundo cuarto 2011 Unidades: 428.7 M Fuente: Gartner
OWASP Y SUS PROYECTOS
¿Qué es OWASP? • Open Web Application Security Project • Organización mundial, sin fines de lucro • Busca promover la seguridad y generar conciencia • En el 2010 se formó el Capítulo Uruguay
Proyectos • Guía de desarrollo seguro y guía de revisión de código • WebScarab, WebGoat, GoatDroid • Top 10 Vulnerabilidades Web • Metodología ASVS • Top 10 Vulnerabilidades Disp. Móviles (Setiembre 2011) • Y muchos mas…
EL TOP 10 VULNERABILIDADES EN DISPOSITIVOS MÓVILES
Top 10 - La lista Almacenamiento Inyección del lado 1 inseguro 6 del cliente Transmisión 2 insegura de datos 7 Denial of Service Fuga de 3 información personal 8 Código malicioso Autenticación 4 débil 9 Buffer overflow Errores en Errores en asignación 5 de privilegios 10 controles del servidor
Almacenamiento inseguro 1 ¿Qué almacenamos? 2 •Información personal, como si fuera un pendrive 3 4 •Archivos temporales de navegación, GPS, cachés 5 6 •Cookies de sesión 7 •Adjuntos de los mails, fotos 8 9 •¿Cual es el problema? 10
Almacenamiento inseguro 1 •Por lo general, no ciframos la información 2 •Vulnerabilidades en los distintos protocolos de 3 transferencia, Bluetooth 4 5 •El dispositivo puede caer en manos ajenas 6 7 8 9 10
Transmisión insegura de datos 1 • Básicamente, ausencia de cifrado en la transmisión 2 de los datos 3 •Vía HTTP, Correo, SMS, etc 4 5 •Confiar demasiado en la red celular 6 •Ataques al navegador, vulnerabilidades SSL 7 •Certificados no confiables 8 •Ataque a DigiNotar y Comodo 9 10
Transmisión insegura de datos 1 • Algunas aplicaciones de Android, no cifran la 2 comunicación con el server: •Twitter 3 •Facebook 4 •Google Calendar 5 •Picasa 6 •Conexión a redes WiFi sin cifrar 7 8 • Tecnología NFC, en sí no cifra, hay que encapsular 9 por SSL, no es posible MiTM 10
Fuga de información personal 1 •Información personal almacenada: 2 •Agenda de contactos •Citas 3 •Fotos (personas y documentos), archivos, etc. 4 •Lo mas riesgoso en este caso, es dejar el celular en 5 manos ajenas: 6 •Robo o extravío •Soporte Técnico 7 •Para pasar música 8 • Se lo prestas al sobrino de un amigo para que 9 instale la última aplicación 10 •Backups sin proteger en alguna PC
Autenticación débil 1 •Fuerza bruta a claves débiles: 2 •PIN de la SIM 3 4 •Contraseñas de bloqueo 5 6 •Claves para conexiones Bluetooth 7 •Passphrases de cifrado 8 9 •Errores de implementación en mecanismos de 10 autenticación
Errores en asignación de privilegios 1 •Privilegios ajustados incorrectamente 2 •Por ejemplo sobre archivos 3 •Errores de implementación: 4 •En el sistema operativo 5 •En las aplicaciones 6 • Aplicaciones que requieren más privilegios de los 7 necesarios 8 9 10
Inyección del lado del cliente 1 •Al igual que en el mundo Web 2 •ejecución de código en los navegadores 3 •Aplicaciones vulnerables 4 •Pueden impactar en el servidor 5 6 •QRCodes • Algunas aplicaciones dirigen al usuario 7 directamente 8 • Ataques de Phishing 9 10
Denial of Service 1 •QRCodes como vector de ataque 2 •Bluetooth 3 4 •Bruteforcing y bloqueo de dispositivo 5 6 • Compromiso del código de aplicaciones de prevención de robo. 7 8 9 10
Código malicioso 1 AppStore de Tercero 2 3 4 5 Sube versión con Malware Descarga Desarrollo 6 Oficial Descarga 7 8 Envío de 9 Información 10
Código malicioso 1 •QRCodes como vector de ataque 2 •Problemas de certificados y MiTM 3 4 •Aplicaciones sin firmar 5 6 •Instalación manual de malware 7 •Servidor que distribuye aplicación comprometido 8 9 10
Buffer overflow 1 •Errores de implementación 2 •En el sistema operativo •En las aplicaciones 3 4 • Se pueden comprometer archivos y recursos 5 internos del sistema 6 7 8 9 10
Errores en controles del servidor 1 •Validación del cliente por el servidor y viceversa 2 •Ataques MiTM 3 4 •Validación de la información enviada desde el 5 dispositivo movil 6 •Se puede comprometer el servidor 7 8 9 10
ALGUNAS RECOMENDACIONES
Algunas recomendaciones En lo posible, no almacenar información sensible en celulares, tablets y notebooks, no conectarse a redes WiFi no cifradas Estos dispositivos son personales, hay que mantenerlos con uno y cuidarlos (VALOR = COSTO DISPOSITIVO + INFORMACIÓN) Tener cuidado con las aplicaciones que se instalen, verificar que estén firmadas y validar la AppStore, verificar certificados Desarrollar aplicaciones siguiendo las mejores prácticas, basarse en las guías de OWASP, hacer pruebas de seguridad de las aplicaciones y los dispositivos
CONCLUSIONES
Conclusiones • A los dispositivos móviles, se les dá mas confianza de la que merecen, cuando debería ser todo lo contrario • El celular es un ambiente dinámico y como tal hay que incorporar medidas extras de seguridad • La gente es más propensa a instalar aplicaciones “curiosas”, sin importar su procedencia • El celular es un punto de acceso a la información de nuestras vidas, y está muy expuesto • Esta película, ya la vimos…
Conclusiones • … debemos cambiarle el final! • Hay que usarlo con conciencia • Considerar las vulnerabilidades comunes para otras plataformas y trasladar los mecanismos de protección al mundo móvil • El desarrollo debe considerar medidas extras de seguridad para estos dispositivos
Cuanto más smart el device, más smart debemos ser nosotros ”
Links de interés Proyecto OWASP: •https://www.owasp.org/index.php/Main_Page OWASP “Mobile Security Project”: •https://www.owasp.org/index.php/OWASP_Mobile_Security_Project Deloitte Uruguay •http://www.deloitte.com/view/es_UY/uy/servicios/consultora/estrategiaoperaciones/index.htm NIST – “Guide to bluetooth security”: •http://csrc.nist.gov/publications/nistpubs/800-121/SP800-121.pdf NIST – “Cell Phone and PDA Security” •http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf Vulnerabilidades en Google ClientLogin •http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html WhisperSys – Framework de Seguridad para Android •http://www.whispersys.com/
Mauro Flores mauflores@deloitte.com @mauro_fcib Alberto Wilson ¡GRACIAS! alwilson@deloitte.com @v8vito ¿PREGUNTAS? @DeloitteUYSeg

Más contenido relacionado

PPTX
Common malware and countermeasures
Noushin Ahson
 
PPTX
Does Anyone Remember Enterprise Security Architecture?
rbrockway
 
PPTX
Application security
Hagar Alaa el-din
 
PPTX
White box crytography in an insecure enviroment
Iqra khalil
 
PPT
8. operations security
7wounders
 
PPTX
Vapt( vulnerabilty and penetration testing ) services
Akshay Kurhade
 
PPTX
Threat Hunting with Splunk
Splunk
 
PPT
Sudarsan Jayaraman - Open information security management maturity model
nooralmousa
 
Common malware and countermeasures
Noushin Ahson
 
Does Anyone Remember Enterprise Security Architecture?
rbrockway
 
Application security
Hagar Alaa el-din
 
White box crytography in an insecure enviroment
Iqra khalil
 
8. operations security
7wounders
 
Vapt( vulnerabilty and penetration testing ) services
Akshay Kurhade
 
Threat Hunting with Splunk
Splunk
 
Sudarsan Jayaraman - Open information security management maturity model
nooralmousa
 

La actualidad más candente (20)

PPTX
CRISC Course Preview
Invensis Learning
 
PPTX
OWASP TOP 10 VULNERABILITIS
Null Bhubaneswar
 
PDF
FortiWeb
Alireza Akrami
 
PDF
Cybersecurity Roadmap Development for Executives
Krist Davood - Principal - CIO
 
PDF
Security architecture
Duncan Unwin
 
PPTX
VAPT PRESENTATION full.pptx
DARSHANBHAVSAR14
 
PPTX
Sql injection
Nuruzzaman Milon
 
PPTX
Deception technology for advanced detection
Jisc
 
PPTX
Cybersecurity Risk Management Framework Strategy Workshop
Life Cycle Engineering
 
PPTX
Application Threat Modeling
Rochester Security Summit
 
PDF
Threat Modelling
n|u - The Open Security Community
 
PDF
Network Architecture Review Checklist
Eberly Wilson
 
PDF
Introduction: CISSP Certification
Sam Bowne
 
PPTX
Secure Your Web Applications with Solve Labs
Boston Institute of Analytics
 
PDF
Cissp Study notes.pdf
MAHESHUMANATHGOPALAK
 
PDF
Industrial_Cyber_Security
WillianMachadoFonsec
 
PPTX
Cyber security
ZwebaButt
 
PPTX
Crowdstrike .pptx
uthayakumar174828
 
PPTX
Bsides SP 2022 - EPSS - Final.pptx
Clavis Segurança da Informação
 
PDF
Vulnerability and Patch Management
n|u - The Open Security Community
 
CRISC Course Preview
Invensis Learning
 
OWASP TOP 10 VULNERABILITIS
Null Bhubaneswar
 
FortiWeb
Alireza Akrami
 
Cybersecurity Roadmap Development for Executives
Krist Davood - Principal - CIO
 
Security architecture
Duncan Unwin
 
VAPT PRESENTATION full.pptx
DARSHANBHAVSAR14
 
Sql injection
Nuruzzaman Milon
 
Deception technology for advanced detection
Jisc
 
Cybersecurity Risk Management Framework Strategy Workshop
Life Cycle Engineering
 
Application Threat Modeling
Rochester Security Summit
 
Threat Modelling
n|u - The Open Security Community
 
Network Architecture Review Checklist
Eberly Wilson
 
Introduction: CISSP Certification
Sam Bowne
 
Secure Your Web Applications with Solve Labs
Boston Institute of Analytics
 
Cissp Study notes.pdf
MAHESHUMANATHGOPALAK
 
Industrial_Cyber_Security
WillianMachadoFonsec
 
Cyber security
ZwebaButt
 
Crowdstrike .pptx
uthayakumar174828
 
Bsides SP 2022 - EPSS - Final.pptx
Clavis Segurança da Informação
 
Vulnerability and Patch Management
n|u - The Open Security Community
 
Publicidad

Destacado (8)

PPTX
Desarrollo de aplicaciones móviles
Ivan Ramirez
 
PDF
Charla desarrollo de aplicaciones en iOS para iPhone y iPad
Luis Consiglieri
 
PPTX
Desarrollo de aplicaciones (Apps) para Android y iPhone en México.
Samuel Noriega
 
PPTX
Owasp mobile top 10
Pawel Rzepa
 
PPTX
OWASP Mobile TOP 10 2014
Islam Azeddine Mennouchi
 
PPTX
Estrategia y desarrollos de aplicaciones moviles
SlashMobility.com
 
PDF
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Websec México
 
PDF
54. OWASP Mobile Top Ten
GeneXus
 
Desarrollo de aplicaciones móviles
Ivan Ramirez
 
Charla desarrollo de aplicaciones en iOS para iPhone y iPad
Luis Consiglieri
 
Desarrollo de aplicaciones (Apps) para Android y iPhone en México.
Samuel Noriega
 
Owasp mobile top 10
Pawel Rzepa
 
OWASP Mobile TOP 10 2014
Islam Azeddine Mennouchi
 
Estrategia y desarrollos de aplicaciones moviles
SlashMobility.com
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Websec México
 
54. OWASP Mobile Top Ten
GeneXus
 
Publicidad

Similar a 116 owasp mobile-top_10_security_risks (20)

PDF
Lo que las apps esconden
Eventos Creativos
 
PDF
Seguridad Dispositivos móviles Extened Edition
Jose Manuel Ortega Candel
 
PDF
Semana de la I+D - Proyecto OPOSSUM
Francisco Javier Barrena
 
PPT
Vectores de ataque dispositivos moviles
Cristian Borghello
 
PPTX
Android Security
Marco Avendaño
 
PDF
2020 enero Argentesting
Enrique Gustavo Dutra
 
PDF
Análisis de Aplicaciones móviles - aspectos de seguridad
Argentesting
 
PDF
Hacking applications that use IoT
Enrique Gustavo Dutra
 
PDF
presentacionForodeSeguridadSectorTelcosJahir.pdf
erick562350
 
PPTX
CursoAndroid.pptx
MarioPerello1
 
PPTX
Foro de Seguridad Sector Telcos Jahir
DanielLopez113433
 
PPTX
Análisis forense de dispositivos android 01
Eventos Creativos
 
PDF
Charla de seguridad en dispositivos móviles
Gissim
 
PDF
La necesidad de construir software seguro. IBM Software Summit #Start013
Internet Security Auditors
 
PDF
Gestión Segura de Dispositivos Móviles en la Empresa
Guillermo García Granda
 
PPTX
Hackeando plataformas móviles
Hacking Bolivia
 
PDF
Movilidad: situación, estudio y retos
BABEL
 
PDF
Campus party 2010 carlos castillo
campus party
 
PDF
#avanttic_webinar: Seguridad en Oracle Cloud Infrastructure
avanttic Consultoría Tecnológica
 
PPTX
Top 10 riesgos de las aplicaciones móviles
Belatrix Software
 
Lo que las apps esconden
Eventos Creativos
 
Seguridad Dispositivos móviles Extened Edition
Jose Manuel Ortega Candel
 
Semana de la I+D - Proyecto OPOSSUM
Francisco Javier Barrena
 
Vectores de ataque dispositivos moviles
Cristian Borghello
 
Android Security
Marco Avendaño
 
2020 enero Argentesting
Enrique Gustavo Dutra
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Argentesting
 
Hacking applications that use IoT
Enrique Gustavo Dutra
 
presentacionForodeSeguridadSectorTelcosJahir.pdf
erick562350
 
CursoAndroid.pptx
MarioPerello1
 
Foro de Seguridad Sector Telcos Jahir
DanielLopez113433
 
Análisis forense de dispositivos android 01
Eventos Creativos
 
Charla de seguridad en dispositivos móviles
Gissim
 
La necesidad de construir software seguro. IBM Software Summit #Start013
Internet Security Auditors
 
Gestión Segura de Dispositivos Móviles en la Empresa
Guillermo García Granda
 
Hackeando plataformas móviles
Hacking Bolivia
 
Movilidad: situación, estudio y retos
BABEL
 
Campus party 2010 carlos castillo
campus party
 
#avanttic_webinar: Seguridad en Oracle Cloud Infrastructure
avanttic Consultoría Tecnológica
 
Top 10 riesgos de las aplicaciones móviles
Belatrix Software
 

Más de GeneXus (20)

PPTX
After Chatbots Yo (Ro) Bots
GeneXus
 
PDF
Construya las aplicaciones del futuro ¡hoy!
GeneXus
 
PDF
Live Editing in Action
GeneXus
 
PDF
Experiencias en el desarrollo de aplicaciones móviles en el sector salud de M...
GeneXus
 
PDF
¿Pensando en implementar un sistema de gestión integral en su organización?
GeneXus
 
PDF
K2B Tools el compañero de viaje ideal hacia el futuro
GeneXus
 
PDF
Sd y Plataformas
GeneXus
 
PDF
PXTools: Nuevo generador y nuevos controles responsivos
GeneXus
 
PDF
APPlícate: Aplicaciones móviles para el desarrollo de la industria
GeneXus
 
PDF
GeneXus 4 Students
GeneXus
 
PDF
La importancia de ser responsive
GeneXus
 
PDF
K2B: El ERP nativo para el mundo GeneXus
GeneXus
 
PDF
GeneXus 15 (Salto)
GeneXus
 
PDF
GeneXus Cloud Deployment Services. El camino a la nube.
GeneXus
 
PDF
LigaMX con GeneXus: De 0 a 1.700.000 de usuarios
GeneXus
 
PDF
Innovando con GeneXus y SAP
GeneXus
 
PDF
Going mobile
GeneXus
 
PDF
Audit+: La mejor forma de auditar KB’s GeneXus
GeneXus
 
PDF
WW+, SD+ y Audit+: Potencie GeneXus la Suite Plus
GeneXus
 
PDF
Aproveche las ventajas de la colaboración entre GeneXus y Cloud Shared Office...
GeneXus
 
After Chatbots Yo (Ro) Bots
GeneXus
 
Construya las aplicaciones del futuro ¡hoy!
GeneXus
 
Live Editing in Action
GeneXus
 
Experiencias en el desarrollo de aplicaciones móviles en el sector salud de M...
GeneXus
 
¿Pensando en implementar un sistema de gestión integral en su organización?
GeneXus
 
K2B Tools el compañero de viaje ideal hacia el futuro
GeneXus
 
Sd y Plataformas
GeneXus
 
PXTools: Nuevo generador y nuevos controles responsivos
GeneXus
 
APPlícate: Aplicaciones móviles para el desarrollo de la industria
GeneXus
 
GeneXus 4 Students
GeneXus
 
La importancia de ser responsive
GeneXus
 
K2B: El ERP nativo para el mundo GeneXus
GeneXus
 
GeneXus 15 (Salto)
GeneXus
 
GeneXus Cloud Deployment Services. El camino a la nube.
GeneXus
 
LigaMX con GeneXus: De 0 a 1.700.000 de usuarios
GeneXus
 
Innovando con GeneXus y SAP
GeneXus
 
Going mobile
GeneXus
 
Audit+: La mejor forma de auditar KB’s GeneXus
GeneXus
 
WW+, SD+ y Audit+: Potencie GeneXus la Suite Plus
GeneXus
 
Aproveche las ventajas de la colaboración entre GeneXus y Cloud Shared Office...
GeneXus
 

116 owasp mobile-top_10_security_risks

  • 1. OWASP Mobile Top 10 Riesgos de Seguridad Alberto Wilson Mauro Flores alwilson@deloitte.com mauflores@deloitte.com #GX2408
  • 2. ¿De qué vamos a hablar? • Un poco de contexto • OWASP y sus proyectos • El famoso Top 10 • Algunas recomendaciones • Conclusiones • ¿Preguntas?
  • 3. UN POCO DE CONTEXTO
  • 4. ¿Qué se está usando? ¿como viene evolucionando? Microsoft, Otros, 3.3 3.6 Otros, 12.1 Microsoft, Symbian, 12 iOS, 16.8 27.4 iOS, 2.7 RIM, Symbian, RIM, 12.9 9.6 63.5 Android, 36 Android, 0 2007 Segundo cuarto 2011 Unidades: 428.7 M Fuente: Gartner
  • 5. OWASP Y SUS PROYECTOS
  • 6. ¿Qué es OWASP? • Open Web Application Security Project • Organización mundial, sin fines de lucro • Busca promover la seguridad y generar conciencia • En el 2010 se formó el Capítulo Uruguay
  • 7. Proyectos • Guía de desarrollo seguro y guía de revisión de código • WebScarab, WebGoat, GoatDroid • Top 10 Vulnerabilidades Web • Metodología ASVS • Top 10 Vulnerabilidades Disp. Móviles (Setiembre 2011) • Y muchos mas…
  • 8. EL TOP 10 VULNERABILIDADES EN DISPOSITIVOS MÓVILES
  • 9. Top 10 - La lista Almacenamiento Inyección del lado 1 inseguro 6 del cliente Transmisión 2 insegura de datos 7 Denial of Service Fuga de 3 información personal 8 Código malicioso Autenticación 4 débil 9 Buffer overflow Errores en Errores en asignación 5 de privilegios 10 controles del servidor
  • 10. Almacenamiento inseguro 1 ¿Qué almacenamos? 2 •Información personal, como si fuera un pendrive 3 4 •Archivos temporales de navegación, GPS, cachés 5 6 •Cookies de sesión 7 •Adjuntos de los mails, fotos 8 9 •¿Cual es el problema? 10
  • 11. Almacenamiento inseguro 1 •Por lo general, no ciframos la información 2 •Vulnerabilidades en los distintos protocolos de 3 transferencia, Bluetooth 4 5 •El dispositivo puede caer en manos ajenas 6 7 8 9 10
  • 12. Transmisión insegura de datos 1 • Básicamente, ausencia de cifrado en la transmisión 2 de los datos 3 •Vía HTTP, Correo, SMS, etc 4 5 •Confiar demasiado en la red celular 6 •Ataques al navegador, vulnerabilidades SSL 7 •Certificados no confiables 8 •Ataque a DigiNotar y Comodo 9 10
  • 13. Transmisión insegura de datos 1 • Algunas aplicaciones de Android, no cifran la 2 comunicación con el server: •Twitter 3 •Facebook 4 •Google Calendar 5 •Picasa 6 •Conexión a redes WiFi sin cifrar 7 8 • Tecnología NFC, en sí no cifra, hay que encapsular 9 por SSL, no es posible MiTM 10
  • 14. Fuga de información personal 1 •Información personal almacenada: 2 •Agenda de contactos •Citas 3 •Fotos (personas y documentos), archivos, etc. 4 •Lo mas riesgoso en este caso, es dejar el celular en 5 manos ajenas: 6 •Robo o extravío •Soporte Técnico 7 •Para pasar música 8 • Se lo prestas al sobrino de un amigo para que 9 instale la última aplicación 10 •Backups sin proteger en alguna PC
  • 15. Autenticación débil 1 •Fuerza bruta a claves débiles: 2 •PIN de la SIM 3 4 •Contraseñas de bloqueo 5 6 •Claves para conexiones Bluetooth 7 •Passphrases de cifrado 8 9 •Errores de implementación en mecanismos de 10 autenticación
  • 16. Errores en asignación de privilegios 1 •Privilegios ajustados incorrectamente 2 •Por ejemplo sobre archivos 3 •Errores de implementación: 4 •En el sistema operativo 5 •En las aplicaciones 6 • Aplicaciones que requieren más privilegios de los 7 necesarios 8 9 10
  • 17. Inyección del lado del cliente 1 •Al igual que en el mundo Web 2 •ejecución de código en los navegadores 3 •Aplicaciones vulnerables 4 •Pueden impactar en el servidor 5 6 •QRCodes • Algunas aplicaciones dirigen al usuario 7 directamente 8 • Ataques de Phishing 9 10
  • 18. Denial of Service 1 •QRCodes como vector de ataque 2 •Bluetooth 3 4 •Bruteforcing y bloqueo de dispositivo 5 6 • Compromiso del código de aplicaciones de prevención de robo. 7 8 9 10
  • 19. Código malicioso 1 AppStore de Tercero 2 3 4 5 Sube versión con Malware Descarga Desarrollo 6 Oficial Descarga 7 8 Envío de 9 Información 10
  • 20. Código malicioso 1 •QRCodes como vector de ataque 2 •Problemas de certificados y MiTM 3 4 •Aplicaciones sin firmar 5 6 •Instalación manual de malware 7 •Servidor que distribuye aplicación comprometido 8 9 10
  • 21. Buffer overflow 1 •Errores de implementación 2 •En el sistema operativo •En las aplicaciones 3 4 • Se pueden comprometer archivos y recursos 5 internos del sistema 6 7 8 9 10
  • 22. Errores en controles del servidor 1 •Validación del cliente por el servidor y viceversa 2 •Ataques MiTM 3 4 •Validación de la información enviada desde el 5 dispositivo movil 6 •Se puede comprometer el servidor 7 8 9 10
  • 24. Algunas recomendaciones En lo posible, no almacenar información sensible en celulares, tablets y notebooks, no conectarse a redes WiFi no cifradas Estos dispositivos son personales, hay que mantenerlos con uno y cuidarlos (VALOR = COSTO DISPOSITIVO + INFORMACIÓN) Tener cuidado con las aplicaciones que se instalen, verificar que estén firmadas y validar la AppStore, verificar certificados Desarrollar aplicaciones siguiendo las mejores prácticas, basarse en las guías de OWASP, hacer pruebas de seguridad de las aplicaciones y los dispositivos
  • 26. Conclusiones • A los dispositivos móviles, se les dá mas confianza de la que merecen, cuando debería ser todo lo contrario • El celular es un ambiente dinámico y como tal hay que incorporar medidas extras de seguridad • La gente es más propensa a instalar aplicaciones “curiosas”, sin importar su procedencia • El celular es un punto de acceso a la información de nuestras vidas, y está muy expuesto • Esta película, ya la vimos…
  • 27. Conclusiones • … debemos cambiarle el final! • Hay que usarlo con conciencia • Considerar las vulnerabilidades comunes para otras plataformas y trasladar los mecanismos de protección al mundo móvil • El desarrollo debe considerar medidas extras de seguridad para estos dispositivos
  • 28. Cuanto más smart el device, más smart debemos ser nosotros ”
  • 29. Links de interés Proyecto OWASP: •https://www.owasp.org/index.php/Main_Page OWASP “Mobile Security Project”: •https://www.owasp.org/index.php/OWASP_Mobile_Security_Project Deloitte Uruguay •http://www.deloitte.com/view/es_UY/uy/servicios/consultora/estrategiaoperaciones/index.htm NIST – “Guide to bluetooth security”: •http://csrc.nist.gov/publications/nistpubs/800-121/SP800-121.pdf NIST – “Cell Phone and PDA Security” •http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf Vulnerabilidades en Google ClientLogin •http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html WhisperSys – Framework de Seguridad para Android •http://www.whispersys.com/
  • 30. Mauro Flores mauflores@deloitte.com @mauro_fcib Alberto Wilson ¡GRACIAS! alwilson@deloitte.com @v8vito ¿PREGUNTAS? @DeloitteUYSeg