viernes, 22 de diciembre de 2017

Dejando janus lejanus

Compartir este artículo:
Buenos días seguidores de Flu Project. Como se ha comentado en muchas otros artículos, existen numerosos tipos de malware almacenados en distintos repositorios, tanto oficiales, como no oficiales. Se han visto casos como estos, donde algunas aplicaciones contenían algún tipo de malware de tipo Spyware o Caballo de Troya, entre otros. Muchos de los cuales pueden acabar infectando nuestro dispositivo y comprometiendo nuestros datos.

También se han visto casos famosos como el de Pokemon Go, donde muchos usuarios descargaron la aplicación de repositorios no oficiales, cuando la aplicación solo estaba disponible en Australia y Nueva Zelanda. Estos repositorios al no ser oficiales contienen aplicaciones que no son legítimas, aunque aparentemente sí, pero muchas de estas APPs se encuentran modificadas por un tercero que ha introducido algún tipo de código malicioso.

Para evitar este problema es recomendable comprobar quien firma esa aplicación. Tened en cuenta que, para firmar una aplicación hace falta un certificado que solo tiene una persona o empresa (o eso entendemos mientras no se lo hayan robado). Estas empresas, al igual que Google en su Play Store, hacen comprobaciones de estas firmas y comprueban que efectivamente esta aplicación es legítima.

Ahora bien, hace cuestión de semanas he leído acerca de una nueva vulnerabilidad que habla sobre como se puede saltar la comprobación de la firma cuando una aplicación se actualiza. ¡Vaya! parece que, si mi móvil no realiza esta comprobación, ¿estamos infectados no? Corred insensatos….



No, tranquilos. Lo primero que debemos conocer es que a partir de Android 7.0 Nougat, Google está utilizando una nueva librería para esta comprobación, denominada “signature scheme v2” y no es vulnerable. PFFFFF Menos mal….

Pero para aquellas personas que sigan haciendo uso de versiones anteriores, aún existe la opción de salvaros y tirar el anillo en mordor. Existe una solución a este problema y es que la aplicación compruebe la firma.

Siguiendo los controles de OWASP, para la revisión de la seguridad en aplicaciones móviles, encontramos uno de ellos que nos habla sobre si la aplicación detecta la modificación de ficheros dentro de la aplicación (Own Files). También conocido como “anti tampering”. La idea es la misma de los contadores de la luz de nuestras casas, en los cuales se instala una especie de candado para evitar que nadie los abra. Para las APPS funciona de manera similar. Si nadie puede firmar tu aplicación con otro certificado, no se pueden realizar modificaciones.

A continuación añado un enlace que explica como se puede implementar en Android:
Con esto estamos reforzando la seguridad de nuestra aplicación de cara a un potencial ataque a nuestros servicios o simplemente limitando la información que un atacante podría recuperar sobre cómo funciona nuestro código https://www.airpair.com/android/posts/adding-tampering-detection-to-your-android-apps.

¡Saludos!

Artículo cortesía de @paquitocadi


No hay comentarios:

Publicar un comentario