Cree aplicaciones móviles a prueba de balas con OWASP MAS

Por Brian Reed, Director de Movilidad de NowSecure 

Las aplicaciones móviles se desbordan 70% del tráfico de Internet y consumir 88% de todo el tiempo móvil, lo que los hace esenciales para las organizaciones que buscan aumentar los ingresos, conectarse con los clientes y obtener información para mejorar los productos y servicios. Al mismo tiempo, el aumento del tráfico de aplicaciones móviles aumenta el riesgo para las organizaciones que no priorizan la seguridad. Esto ejerce presión sobre los desarrolladores de aplicaciones móviles para que desarrollen y entreguen rápidamente aplicaciones móviles seguras y de alta calidad que impulsen la innovación y satisfagan las necesidades del negocio.

Para gestionar los riesgos del panorama de amenazas móviles, el Web abierta Application Security Proyecto (OWASP) desarrollado el Móvil Application Security (MAS) proyecto emblemático para establecer una base común para los requisitos de seguridad de las aplicaciones móviles. Además de proporcionar estándares de la industria, OWASP MAS educa a los desarrolladores de aplicaciones móviles, arquitectos, analistas de seguridad e ingenieros de seguridad sobre las herramientas, técnicas y metodologías necesarias para garantizar la seguridad de las aplicaciones móviles durante todo el ciclo de vida del desarrollo y durante las operaciones de producción.

Los desarrolladores de aplicaciones móviles deben comprender los principios fundamentales del proyecto OWASP MAS y los más comunes. seguridad de aplicaciones móviles problemas para que puedan diseñar, construir, desarrollar y probar aplicaciones móviles de manera consistente teniendo en cuenta la seguridad. Los desarrolladores que utilizan los estándares OWASP MAS con frecuencia informan un mayor rendimiento, eficiencia y release previsibilidad mientras se reduce el riesgo.

Los componentes centrales de OWASP MAS

Los desarrolladores de aplicaciones móviles que deseen proteger sus aplicaciones móviles deben aplicar los tres componentes principales del proyecto OWASP MAS:

• Móvil Application Security Estándar de Verificación (MASVS): OWASP creó MASVS para proporcionar una lista completa de requisitos que los desarrolladores de aplicaciones móviles pueden usar para garantizar que las aplicaciones móviles de Android e iOS mantengan un nivel adecuado de seguridad. Los requisitos satisfacen tres objetivos clave:
  • Úselo como guía: brinde orientación sobre seguridad durante todas las fases de desarrollo y prueba de aplicaciones móviles;
  • Úselo como una métrica: proporcione un estándar de seguridad con el que los desarrolladores y propietarios de aplicaciones puedan comparar las aplicaciones móviles;
  • Uso durante la adquisición: proporcione una línea de base para la verificación de seguridad de la aplicación móvil.
• Móvil Application Security Guía de prueba (MASTG): Este manual proporciona a los desarrolladores de aplicaciones móviles la información esencial que necesitan para construir de forma segura, y ofrece asesoramiento técnico sobre prácticas de codificación seguras, modelado de amenazas, evaluación de vulnerabilidades, pruebas de penetracióny gestión de riesgos. Los desarrolladores también pueden aprender sobre las técnicas de prueba adecuadas, incluido el modelado de amenazas, las pruebas de penetración y la evaluación de riesgos.
• Móvil Application Security (MAS) Lista de verificación: Los desarrolladores de aplicaciones móviles pueden acceder a la lista de verificación de MAS para asegurarse de que sus aplicaciones móviles se prueben en todas las categorías especificadas por MASVS. Estas categorías incluyen arquitectura, diseño y modelado de amenazas, almacenamiento y privacidad de datos, criptografía, autenticación y gestión de sesiones, comunicación de red, interacción de plataforma, calidad de código y configuración y resiliencia de compilación.

Problemas de Mobile AppSec que debe saber

Para crear la estrategia AppSec móvil basada en estándares más efectiva, los desarrolladores deben familiarizarse con los problemas más comunes que se encuentran en las aplicaciones móviles inseguras.

• Almacenamiento de datos inadecuado: La investigación de NowSecure encuentra que el 50% de las aplicaciones móviles probadas contra MASVS almacenan información de identificación personal (PII) de manera incorrecta. Este problema tiene serias implicaciones para las aplicaciones móviles desarrolladas para industrias altamente reguladas, como las finanzas y la atención médica, donde las brechas de seguridad pueden tener graves consecuencias. Los desarrolladores deben verificar las contraseñas, las claves criptográficas y otras credenciales siguiendo las técnicas de almacenamiento de datos de MASVS. Además, las entradas de datos confidenciales nunca deben almacenarse en caché ni aparecer en los registros de la aplicación, y los desarrolladores deben usar configuraciones nativas del sistema operativo para el almacenamiento.
• Criptografía débil: Los desarrolladores suelen registrar grandes cantidades de datos confidenciales con fines de depuración en diferentes etapas del proceso. Pero actores de amenaza puede acceder a herramientas avanzadas para Ingeniería inversa algoritmos débiles, creando oportunidades para robar PII con facilidad. Los desarrolladores deben evitar algoritmos criptográficos propios y de terceros débiles u obsoletos para protegerse contra herramientas de ingeniería inversa. deploy generadores de números pseudoaleatorios, y usar criptografía de caja blanca para máxima protección
• Autenticación débil y gestión de sesión: La inactividad o las sesiones invalidadas pueden facilitar que los atacantes violen las aplicaciones móviles. Los desarrolladores deben evitar que las sesiones inactivas se prolonguen demasiado y asegurarse de que los datos permanezcan ocultos cuando los usuarios pasan las aplicaciones móviles a un segundo plano. También deben evitar los permisos y la autenticación en el lado del cliente porque los actores de amenazas pueden descubrir los mecanismos para la gestión de sesiones y generar sus credenciales.
• Comunicaciones de red inseguras: La actividad de red insegura permite a los actores de amenazas interceptar PII cuando la comunicación entre la aplicación móvil y los puntos finales del servicio remoto carece de cifrado. Al igual que los problemas con el almacenamiento de datos inadecuado, las conexiones de red de aplicaciones móviles inseguras pueden ser particularmente preocupantes para las aplicaciones móviles de industrias altamente reguladas. La fijación de certificados puede ayudar a los desarrolladores a garantizar que las comunicaciones permanezcan conectadas al servidor previsto para que los datos confidenciales no caigan en las manos equivocadas. Los desarrolladores también deben usar las API de seguridad específicas de iOS y Android y la criptografía de caja blanca para una protección adicional.
• Mala calidad del código y configuraciones de compilación: Las pruebas comparativas de NowSecure encuentran que el 47 % de las aplicaciones móviles tienen problemas de calidad de código, lo que puede conducir a importantes infracciones de seguridad si no se controla. Estos problemas van desde símbolos de depuración que quedan en el código hasta errores encontrados en bibliotecas de terceros no verificadas. Los desarrolladores deben aprender técnicas de codificación seguras para evitar fallas en su propio código y revisar y actualizar constantemente las bibliotecas de terceros.
• Falta de resiliencia frente a la ingeniería inversa: Las aplicaciones de atención médica, de servicios financieros y de juegos están sujetas a extensos intentos de ingeniería inversa por parte de algunos de los actores de amenazas más hábiles y persistentes del mundo. Los propietarios de aplicaciones y los ingenieros de compilación deberían ofuscar código ya sea a través de técnicas de código abierto o herramientas de terceros. Además, los propietarios de aplicaciones y los ingenieros de compilación deben protegerse contra la manipulación agregando la capacidad de monitorear aplicaciones que se released en la naturaleza. Finalmente, los propietarios de las aplicaciones deben agregar la capacidad de cerrar o al menos desaprobar la funcionalidad de las aplicaciones en la naturaleza que se han visto comprometidas.

Las organizaciones pueden usar una variedad de herramientas y técnicas para confirmar que los desarrolladores implementar correctamente los principios de MASVS en todo el proceso. Herramientas de prueba automatizadas integradas con sugerencias de remediación integradas, ayuda a los desarrolladores a resolver errores de seguridad de manera rápida y eficiente. Prueba guiada combina los beneficios de las pruebas de seguridad manuales y automatizadas al permitir que las pruebas automatizadas se ejecuten continuamente en segundo plano, mientras que un analista de seguridad humano interviene periódicamente para probar características de seguridad complejas que requieren un toque humano. Además, agregando anti-manipulación medidas antes deployment proporciona una capa adicional de protección al evitar la ingeniería inversa y el monitoreo de unsafe entornos como emuladores o dispositivos con jailbreak/rooteados. Un motor de políticas automatizado garantiza que los desarrolladores cumplan con los principios de desarrollo seguro basados ​​en MASVS desde la preproducción hasta deployambiente.

Siguiendo los componentes centrales del proyecto OWASP MAS, aprovechando las herramientas de prueba automatizadas, aprendiendo codificación segura prácticas, comprender la fallas de seguridad más comunes dentro de las aplicaciones móviles, y agregando resiliencia, los desarrolladores tendrán las herramientas y habilidades necesarias para crear aplicaciones móviles a prueba de balas. Los desarrolladores pueden obtener más información sobre cómo mejorar la seguridad de las aplicaciones móviles con OWASP MAS viendo NowSecure/Digital.ai Webinar MASVS Team Up: seguridad móvil a prueba de balas de Dev Through Prod y Digital.aibreve video informativo Cree software seguro.

Sobre el autor: Como Director de Movilidad de NowSecure, Brian Reed aporta décadas de experiencia en administración móvil, de aplicaciones, de seguridad, de desarrollo y de operaciones, incluidos NowSecure, Good Technology, BlackBerry, ZeroFOX, BoxTone, MicroFocus e INTERSOLV trabajando con clientes globales de Fortune 2000 , pioneros móviles y agencias gubernamentales. En NowSecure, Brian impulsa la estrategia general de lanzamiento al mercado, la cartera de soluciones, los programas de marketing y el ecosistema de la industria. Con más de 25 años de experiencia en la creación de productos innovadores y la transformación de negocios, Brian tiene una trayectoria comprobada en empresas de etapa inicial y media en múltiples regiones y mercados tecnológicos. Como destacado orador y líder de pensamiento, Brian es un orador dinámico y un narrador convincente que aporta ideas únicas y experiencia global. Brian es un graduado de la Universidad de Duke.