Las aplicaciones móviles que filtran datos a tasas alarmantes muestran que los usuarios de iOS y Android necesitan medidas de seguridad urgentes hoy
- Informe advierte que los atacantes pueden interceptar las llamadas de API en los dispositivos iOS y hacer que parezcan legítimos
- Las herramientas de seguridad tradicionales no pueden proteger las aplicaciones contra los ataques en el dispositivo
- Los dispositivos móviles comprometidos aumentan significativamente el riesgo de explotación de API
Nueva investigación de Apretado ha afirmado que las aplicaciones móviles son ahora el principal campo de batalla para los ataques basados en API, creando graves riesgos de fraude y robo de datos para empresas.
La investigación muestra 1 de cada 3 aplicaciones de Android y más de la mitad de los datos sensibles a las aplicaciones de iOS, ofreciendo a los atacantes acceso directo a los sistemas críticos de negocios.
Aún más preocupante, el informe reclama tres de cada 1,000 dispositivos móviles que están infectados, con 1 de cada 5 dispositivos Android que encuentran malware en la naturaleza.
La escala de las vulnerabilidades de API móvil
A diferencia de las aplicaciones web, las aplicaciones móviles envían puntos finales de API y llaman a la lógica a dispositivos no confiables, exponiéndolos a posibles manipulación y ingeniería inversa.
Esto permite a los atacantes interceptar el tráfico, modificar la aplicación y hacer que las llamadas de API maliciosas parezcan legítimas.
Defensas tradicionales como cortafuegosGateways, proxies y validación clave de API no pueden proteger completamente contra estas amenazas en la aplicación.
“Las API no solo alimentan las aplicaciones móviles, sino que las exponen”, dijo Krishna Vishnubhotla, vicepresidente de soluciones de productos en Zimperium.
“Las herramientas de seguridad tradicionales no pueden evitar que los ataques ocurran dentro de la aplicación. La protección de las API ahora requiere defensas en la aplicación que aseguran el lado del cliente”.
La manipulación del lado del cliente es común, ya que los atacantes pueden interceptar y alterar las llamadas API antes de alcanzar los sistemas de backend.
Incluso la fijación SSL, diseñada para evitar ataques de hombre en el medio, tiene brechas: casi 1 de cada 3 aplicaciones de finanzas de Android y 1 de cada 5 aplicaciones de viaje iOS siguen siendo vulnerables.
Más allá de la exposición a la API, muchas aplicaciones manejan los datos confidenciales sobre dispositivos, ya que Zimperium reveló el registro de la consola, el almacenamiento externo y el almacenamiento local inseguro son problemas comunes.
Por ejemplo, el 6% de las 100 aplicaciones principales de Android escriben información de identificación personal (PII) en registros de consola, y el 4% la escribe en almacenamiento externo accesible por otras aplicaciones.
Incluso el almacenamiento local, aunque no compartido, puede convertirse en una responsabilidad si un atacante gana acceso al dispositivo.
El análisis también muestra casi un tercio (31%) de todas las aplicaciones y el 37% de los 100 principales envían PII a servidores remotos, a menudo sin el cifrado adecuado.
Ciertas aplicaciones incorporan SDK capaces de exfiltrarse en secreto de datos, registrar interacciones del usuario, capturar ubicaciones GPS y enviar información a servidores externos.
Estas actividades ocultas aumentan la exposición empresarial y muestran que incluso las aplicaciones de las tiendas oficiales pueden llevar riesgos de seguridad importantes.
“A medida que las aplicaciones móviles continúan impulsando las operaciones comerciales y las experiencias digitales, asegurar API de adentro hacia afuera es fundamental para prevenir el fraude, el robo de datos y la interrupción del servicio”, agregó Vishnubhotla.
Cómo mantenerse a salvo
- Inspeccione las aplicaciones para el registro inadecuado de información confidencial para evitar fugas de datos.
- Verifique que el almacenamiento local de datos esté encriptado y no sea accesible por otras aplicaciones.
- Monitoree el tráfico de la red para detectar aplicaciones que envían información personal sin cifrar.
- Identifique y elimine los SDK maliciosos o los componentes de terceros integrados en las aplicaciones.
- Revise los permisos de la aplicación para garantizar que se alineen con la funcionalidad prevista.
- Realice auditorías regulares del comportamiento de la aplicación para posibles vulnerabilidades de violación.
- Implemente protecciones de tiempo de ejecución para evitar la manipulación o la ingeniería inversa de las aplicaciones.
- Use la ofuscación del código para proteger la lógica comercial y los puntos finales de API de los atacantes.
- Valide que las llamadas de API vienen solo de aplicaciones legítimas y sin obstáculos.
- Establecer procedimientos de respuesta a incidentes en caso de que ocurra un compromiso de la aplicación móvil.
- Utilice un software de seguridad móvil que proteja contra el malware y ransomware ataques.
