Un pentest de App’s es un conjunto de prácticas bien definidas orientadas a evaluar la seguridad de un sistema desde el punto de vista de un atacante remoto, o de un atacante interno (insider), con el objetivo de descubrir vulnerabilidades o fallos de seguridad que pudiesen desde comprometer desde la información confidencial de una organización hasta los servicios que esta tiene expuestos en Internet.
¿Qué ataques puede sufrir una organización?
Antes de empezar a hablar de ataques, hay que diferenciar que existen ataques masivos y ataques personalizados, los ataques personalizados, son dirigidos a un usuario en particular (víctima) y harán todo lo necesario para conseguir su objetivo a no ser que se evite con contramedidas de seguridad, por otra parte, los masivos, son ataques que aprovechando una vulnerabilidad conocida, tienen el objetivo de comprometer el mayor número de dispositivos posibles y usar estos, para implementar futuros ataques a infraestructuras, por ejemplo, infraestructuras críticas.
Desde el punto de vista de un atacante remoto, intentar comprometer una APP tanto como para Android como para IOS, puede llegar muy beneficioso, ya que podría ser capaz de extraer información sensible de la organización y utilizarla en su beneficio.
Objetivo
¿Qué se consigue con un pentest?
El principal objetivo del pentest o test de penetración consiste en determinar las vulnerabilidades o debilidades de seguridad, pero también puede ser utilizado para probar el cumplimiento de la política de seguridad de una organización, la conciencia de seguridad de sus empleados y la capacidad de la organización para identificar y responder a los incidentes de Seguridad, someter un sistema a constantes pruebas de intrusión puede ser la mejor vía para garantizar su seguridad.
¿Cuáles son los objetivos que persigue un pentest a una APP?
Identificar posibles puntos críticos en el aplicativo (APP) que pudiesen suponer un riesgo para su organización, desde el robo de credenciales, suplantación de identidad, denegación de servicio, acceso a datos de su empresa, hasta obtener el código original de la App (reversearla) para crear una APP parecida y distribuir malware a través de esta.
Si su organización usa aplicativos para dispositivo móviles (APP), este tipo de pentest le permitirá securizarlos para dificultar a un atacante pueda conseguir sus objetivos antes comentados. Siguiendo nuestras recomendaciones, podrá dar continuidad, estabilidad y escabilidad a su organización, sin miedo a que la información sensible de sus usuarios y de su negocio pueda estar expuesta en internet de una manera insegura.
Tipos de ataques
Algunos de los ataques pueden ser:
- Obtener el código fuente original para copiarla y suplantar a la original (Revesearla).
- Comprobar que existen mecanismos de bloqueo implementados.
- Conseguir credenciales válidas de usuario a través de ataques XSS.
- Bypassear la aplicación, acceder a ella sin autenticarse.
- Conexión con el servidor, esnifar la información que no viene cifrada y con ella los passwords.
- Des-harcodeard (descifrar) de información sensible de la aplicación.
- Subida de ficheros maliciosos.
- Fijación de sesión dentro de la APP.
- No validación/verificación de MSISDN WAP.
- Escalación de privilegios.
- Inyección de código SQL.
- Bypassear segundos niveles de autenticación (ej. SMS de verificación).
- Inyecciones LDAP.
- Inyecciones de comandos Android.
- Snapshots(capturas) del estado en aplicaciones iOS.
- Comprobar si el modo debug está activo.
- Cifrados débiles que puedan ser rotos por un atacante.
- Interceptar información enviada en texto claro.