Aplicaciones de iOS Banking, Repletas de Agujeros

Según un informe de IOActive, un gran número de aplicaciones del iOS banking, pertenecientes a algunos de los bancos más importantes del mundo, poseen bugs que exponen a los usuarios

Según un informe de IOActive, un gran número de aplicaciones del iOS banking, pertenecientes a algunos de los bancos más importantes del mundo, poseen bugs que exponen a los usuarios al robo de datos y a la intervención de sus cuentas bancarias. Según resume este informe, un atacante capacitado podría, por medio de ataques man-in-the-middle, monitorear las acciones de los usuarios, tomar el control de sus cuentas bancarias o corromper la memoria de los dispositivos, que derivarían en fallos del sistema y fuga de datos. En conjunto, estas vulnerabilidades podrían permitir que un atacante robe las credenciales de los usuarios y acceda en forma fraudulenta a sus cuentas bancarias en línea.

bank

El investigador argentino Ariel Sánchez, que trabaja para la compañía de seguridad IOActive, realizó una serie de pruebas en 40 aplicaciones de banking de los principales 60 bancos del mundo. Analizó los mecanismos de transferencia de datos, las interfaces de usuario, los procesos de almacenamiento y otras acciones más complejas como compiladores y binarios.

Sánchez descubrió una serie de potenciales vulnerabilidades a los exploits. “Cualquier persona que disponga de los conocimientos adecuados podría utilizar esta información para detectar posibles bugs y, después de investigar un poco, desarrollar un exploit o un malware para comprometer la seguridad de los usuarios de las aplicaciones bancarias afectadas”, advirtió Sánchez. “En este sentido, podríamos decir que este es el primer paso para una posible amenaza a la seguridad”.

Esta vulnerabilidad podría usarse para acceder a la infraestructura informática de cada banco e infectar las aplicaciones con algún malware, causando una infección masiva en todas las aplicaciones de los usuarios

Desde IOActive afirmaron que dieron aviso a los respectivos bancos sobre estas vulnerabilidades. Sin embargo, Sánchez afirmó que hasta el momento, ninguno de los bancos dio cuenta de una posible solución para este problema.

Según Sánchez la cuestión más preocupante es la gran cantidad de credenciales de desarrollo codificadas en los binarios. En otras palabras, según el investigador argentino, existe una serie de aplicaciones de banking que contienen lo que equivaldría a una llave maestra discernible. Estas llaves están diseñadas para brindarles a los desarrolladores acceso a la infraestructura de desarrollo de las aplicaciones. Desafortunadamente, las credenciales codificadas también podrían darles a los atacantes el mismo nivel de acceso.

“Esta vulnerabilidad podría usarse también para obtener el acceso a la infraestructura informática de cada banco e infectar las aplicaciones con algún malware. Esto provocaría una infección masiva para todas las aplicaciones de los usuarios”, resumió Sánchez.

Parte del problema radica en que algunas aplicaciones están enviando enlaces cifrados hacia los usuarios y/o generando fallas en la validación de los certificados SSL cuando la información está cifrada. Este comportamiento, que Sánchez atribuye a un descuido del desarrollador de las aplicaciones, pone a los clientes en riesgo de ataques del tipo “man-in-the-middle”, que son aquellos en los que los atacantes pueden inyectar javascritps maliciosos o códigos HTML como parte de una estafa de phishing.

Todos los problemas descubiertos por el investigador argentino se ven agravados por el hecho de que el 70 por ciento de los bancos que fueron analizados no han logrado implementar la autenticación de dos factores.

“Para acceder, los atacantes sólo necesitan el binario de la aplicación y una herramienta para descifrar el código y otra para desembalarlo”, explicó Sánchez. “Existen un montón de publicaciones en las que se explica cómo descifrar y desembalar los códigos de este tipo de aplicaciones. Incluso alguien que no tiene mucha experiencia en el área y dispone de poco de tiempo puede hacerlo”, agregó.

Que IOActive haya tomado las riendas en esta cuestión es algo bueno y malo al mismo tiempo (aunque mayormente bueno). Por el lado bueno, en sus informes no están revelando cuáles son los bancos afectados, ni publicando cuáles son las vulnerabilidades específicas que podrían darles a los atacantes la información que necesitan para focalizar sus ataques en las cuentas de los usuarios. Sin embargo, por el malo, tampoco nosotros sabemos cuáles son los bancos que tienen estas aplicaciones vulnerables y, debido a esto, tampoco sabemos en cuál banco podemos confiar.

Lógicamente, quienes son más precavidos probablemente no utilizarán las aplicaciones de banking de sus dispositivos móviles, al menos hasta que estos problemas se hayan resuelto. Sin embargo, la mayoría no tomará estos recaudos. Por esta razón, te recomendamos que, cuando dispongas de un tiempo, realices la autenticación de dos factores si tu banco te provee ese servicio. Y, además de sólo ser cauteloso cuando ingresas a los enlaces de tu aplicación de banking, toma mayor cuidado con los mensajes phishing y mantén un ojo puesto en tu cuenta bancaria.

 

Traducido por: Guillermo Vidal Quinteiro

Consejos