Vulnerabilidades de las apps de gestión de cryptocurrencies
La gran mayoría de las aplicaciones móviles para Android disponible en el oficial de Google Play Store que están destinados para la gestión de cryptocurrencies son vulnerables a las vulnerabilidades más comunes y conocidas, según un informe publicado por Swiss cyber-security firm High-Tech Bridge
El informe fue elaborado por la exploración de las aplicaciones de gestión de criptomoneda más populares que utilizan Mobile X-Ray, un escáner aplicación móvil basada en la web que puso en marcha este mes.Mobile X-Ray realiza una combinación de pruebas de análisis estáticos y dinámicos, junto con las pruebas de comportamiento simple para la privacidad y la funcionalidad malicioso.
Investigadores High-Tech Bridge utilizan móvil de rayos X para escanear 90 aplicaciones Android populares para vulnerabilidades comunes y diversas debilidades y decir que más del 90% de todas las aplicaciones "puede estar en problemas."
Algunos de estos defectos se pueden automatizar parte de las cadenas de explotación incluidos con troyanos bancarios Android. Con Bitcoin y varios otros cryptocurrencies que alcanzan altos precios de negociación de todos los tiempos, los defectos en estas aplicaciones exponen a los usuarios a los robos y otros tipos de fraude financiero.
Aplicaciones destacadas conocidas, incluidas claves de la API y contraseñas codificadas, no utilizan el cifrado, y eran vulnerables a los ataques MITM.
El problema está en los desarrolladores de aplicaciones
El tipo de vulnerabilidades que la empresa de seguridad ha descubierto son inconcebibles si tenemos en cuenta que estamos en 2017 y los expertos en seguridad han estado predicando acerca de estos insectos durante casi una década."Por desgracia, no me sorprende con los resultados de la investigación", dijo Ilia Kolochenko, CEO y fundador de puente de alta tecnología. "Durante muchos años, las compañías de seguridad cibernética y expertos independientes fueron notificar a los desarrolladores de aplicaciones móviles sobre los riesgos de‘ágil’el desarrollo que implican por lo general hay un marco para asegurar el diseño seguro, la codificación segura y técnicas de endurecimiento o pruebas de seguridad de aplicaciones."
Aqui teneis las descripciones de las vulnerabilidades encontradas en este estudio
- Aplicaciones contenían al menos 3 vulnerabilidades de riesgo medio
- Aplicaciones contenían al menos 2 vulnerabilidades de alto riesgo
- Aplicaciones eran vulnerables a los ataques MITM
- Aplicaciones contenían datos sensibles codificado incluyendo contraseñas o claves de la API
- Aplicaciones utilizan la funcionalidad que podría poner en peligro la privacidad del usuario
- Aplicaciones no tenían ninguna endurecimiento o la protección de su back-end (API o servicios web)
- Aplicaciones enviados [potencialmente] datos sensibles sin ningún tipo de cifrado a través de HTTP
- Aplicaciones enviado [potencialmente] datos sensibles con cifrado débil o insuficiente
- Aplicaciones utilizados SSLv3 o TLS 1.0 [ prohibidas por PCI DSS ]
- Aplicaciones tenían backends (API o servicios web) vulnerables a CANICHE vulnerabilidad
- Aplicaciones no tenían ninguna protección contra la ingeniería inversa