Evaluando la seguridad de las apps de pago móvil en Bangladesh
Un estudio que revela fallos de seguridad en aplicaciones de pago móvil populares.
― 7 minilectura
Tabla de contenidos
- Antecedentes
- Uso de Aplicaciones Móviles
- Preocupaciones de Seguridad
- Enfoque de la Investigación
- Metodología
- Herramientas para el Análisis de Seguridad
- Vulnerabilidades Comunes
- Hallazgos del Análisis
- Resultados de las Pruebas de Aplicaciones
- Resumen de Pruebas de Seguridad
- Problemas Encontrados Durante la Investigación
- Recomendaciones para la Mejora
- Conclusión
- Fuente original
- Enlaces de referencia
Bangladés está haciendo un gran esfuerzo por digitalizar su infraestructura, especialmente en el área de pagos en línea y banca a través de aplicaciones móviles. Aunque muchas personas usan estas apps a diario, hay poca información sobre su Seguridad. Esta investigación analiza si estas aplicaciones cumplen con los estándares básicos de seguridad a nivel global. Hicimos un análisis exhaustivo de 17 aplicaciones móviles y un kit de desarrollo de software (SDK) usando herramientas accesibles. El objetivo era encontrar información sensible y verificar si las apps siguen el estándar de verificación de seguridad de aplicaciones móviles (MASVS) establecido por OWASP, una organización enfocada en mejorar la seguridad del software.
Antecedentes
En 2016, un gran robo cibernético involucró intentos de retirar $1 mil millones del Banco Central de Bangladés. La mayoría de las solicitudes fueron bloqueadas, pero $81 millones nunca fueron devueltos, lo que destacó serias Vulnerabilidades de seguridad en los sistemas financieros del país. Este incidente enfatiza la necesidad de una mejor investigación y seguridad en el sector de pagos en línea y banca.
La adaptación de Bangladés a las TI, especialmente en los sectores financiero y empresarial, ha aumentado después de las recomendaciones del Banco de Bangladés. Muchos servicios ahora son fácilmente accesibles a través de aplicaciones móviles como bKash y Nagad, permitiendo a los usuarios realizar transacciones, pagar cuentas y llevar a cabo actividades financieras de manera rápida. Aunque esta transformación digital ha agilizado muchos procesos, también plantea preocupaciones sobre la seguridad de estas aplicaciones contra amenazas cibernéticas.
Uso de Aplicaciones Móviles
En 2020, Bangladés tenía alrededor de 170 millones de conexiones de teléfonos móviles, con un número significativo de usuarios de internet móvil. El cambio rápido hacia la banca móvil y los servicios en línea está pavimentando el camino para el sector fintech. La empresa noruega Telenor ha reportado ingresos considerables solo del mercado bangladesí. Con el monto de dinero transaccionado mensualmente casi igualando una cuarta parte del presupuesto nacional de Bangladés, la importancia de garantizar la seguridad de estas aplicaciones no puede subestimarse.
Preocupaciones de Seguridad
Con el avance de la tecnología, también surgen preocupaciones sobre la seguridad de las aplicaciones móviles. Las amenazas cibernéticas son un peligro real, especialmente en un país en desarrollo como Bangladés que depende mucho de la tecnología. Dado que las aplicaciones móviles son una parte integral de la vida diaria, es crucial entender sus vulnerabilidades. Estas vulnerabilidades pueden llevar a filtraciones de datos, acceso no autorizado y otros problemas de seguridad.
Enfoque de la Investigación
Este estudio se concentra en explorar la seguridad de las aplicaciones móviles, especialmente aquellas que operan en la plataforma Android debido a su naturaleza de código abierto. Aunque se han realizado algunos estudios generales sobre la seguridad de la banca en línea, el análisis detallado de los servicios financieros móviles ha sido escaso. Nuestra investigación tiene como objetivo identificar las posibles vulnerabilidades, entender cómo pueden ser explotadas y determinar si estas aplicaciones se adhieren a los estándares de seguridad globales.
Metodología
Realizamos análisis tanto estáticos como dinámicos para comprender la seguridad de las aplicaciones objetivo. Usando varias herramientas de código abierto, buscamos señalar cualquier falla de seguridad. Nuestro análisis incluyó la evaluación de métodos de almacenamiento de datos, prácticas de Cifrado, comunicaciones de red y el uso de WebViews. Cada aplicación fue revisada manualmente para asegurar que siguiera los protocolos de seguridad de manera consistente.
Herramientas para el Análisis de Seguridad
Se utilizaron diversas herramientas para el análisis estático y dinámico de las aplicaciones. Algunas destacadas incluyen:
- AndroGuard: Una herramienta de código abierto para analizar aplicaciones Android que ayuda a detectar vulnerabilidades y malware.
- APKTool: Usada para descompilar archivos APK y examinar su estructura y código.
- MobSF: Un marco diseñado para pruebas de seguridad móvil para escanear aplicaciones en busca de vulnerabilidades.
- Frida: Un kit de herramientas útil para el análisis dinámico que monitorea el comportamiento de las aplicaciones durante la ejecución.
Estas herramientas ayudan a identificar fallas de seguridad en el código y a automatizar partes del análisis.
Vulnerabilidades Comunes
Durante nuestra investigación, nos enfocamos en identificar las vulnerabilidades de seguridad más comunes basadas en las directrices de OWASP. Estas incluyen:
- Prácticas débiles de almacenamiento de datos
- Fallas en las implementaciones criptográficas
- Comunicaciones de red inseguras
- Uso inseguro de WebViews
Cada una de estas vulnerabilidades puede tener consecuencias graves si se explotan, llevando a fugas de datos, acceso no autorizado o robo de identidad.
Hallazgos del Análisis
Después de analizar 17 aplicaciones y 1 SDK, nuestros hallazgos revelaron varias fallas de seguridad:
- Muchas aplicaciones no usaron medidas suficientes para proteger datos sensibles.
- Algunas aplicaciones tenían prácticas criptográficas débiles, lo que las hacía vulnerables a ataques.
- Se observaron comunicaciones de red inseguras en varias apps, creando posibles puntos de acceso para piratas informáticos.
- El uso de WebViews a menudo no estaba asegurado adecuadamente, lo que podría llevar a clickjacking y otros tipos de ataques.
Nuestro análisis indicó una necesidad significativa de revisiones manuales y pruebas adicionales para asegurar el cumplimiento con los estándares de seguridad.
Resultados de las Pruebas de Aplicaciones
Evaluamos varias aplicaciones móviles ampliamente utilizadas en Bangladés, incluyendo varias apps de servicios bancarios y financieros móviles. Estas aplicaciones mostraron distintos niveles de adherencia a los estándares de seguridad. Aunque algunas apps siguieron las mejores prácticas, otras mostraron debilidades significativas que podían ser explotadas.
Resumen de Pruebas de Seguridad
Durante nuestras pruebas, categorizamos nuestros resultados en conjuntos basados en las capacidades de las herramientas utilizadas:
- Conjunto A: Aplicaciones que no pudieron ser analizadas debido a incompatibilidad con las herramientas de análisis.
- Conjunto B: Aplicaciones que solo pudieron ser analizadas parcialmente.
- Conjunto C: Aplicaciones que fueron completamente analizables, revelando un conjunto completo de vulnerabilidades.
Los resultados destacaron la necesidad de mejorar los protocolos de seguridad en muchas aplicaciones.
Problemas Encontrados Durante la Investigación
Se encontraron varios desafíos a lo largo de la investigación, como:
- La falta de herramientas de código abierto efectivas específicamente diseñadas para nuestro análisis.
- Dificultades con aplicaciones que usaron técnicas de ofuscación, lo que dificultó la comprensión del código.
- La rápida velocidad de las actualizaciones de los desarrolladores que dejaron obsoletos los hallazgos anteriores.
A pesar de estos desafíos, la necesidad de investigación continua en seguridad en este paisaje en evolución es crucial.
Recomendaciones para la Mejora
Para mejorar la seguridad de las aplicaciones móviles en Bangladés, los desarrolladores deberían:
- Implementar medidas de Protección de Datos y métodos de cifrado más robustos.
- Asegurar comunicaciones de red seguras utilizando las mejores prácticas.
- Realizar auditorías de seguridad regularmente en sus aplicaciones para identificar y corregir vulnerabilidades.
- Hacer uso de marcos de seguridad como MASVS para establecer directrices claras para el desarrollo.
- Fomentar que investigadores y expertos en seguridad se involucren más con el sector de seguridad de aplicaciones móviles para mejorar la seguridad general.
Conclusión
Este estudio destaca las vulnerabilidades de seguridad presentes en las populares aplicaciones de pago y banca móvil en Bangladés. Aunque muchos usuarios dependen de estas aplicaciones para transacciones diarias, su seguridad no está garantizada. A medida que el paisaje digital se expande, es esencial priorizar la seguridad para proteger la información sensible de los usuarios y mantener la confianza en los servicios financieros digitales.
La investigación y el desarrollo continuos en este campo llevarán a mejorar las medidas de seguridad, un mejor cumplimiento de los estándares globales y una mayor seguridad en general para los usuarios en Bangladés y más allá.
Título: An investigation of the Online Payment and Banking System Apps in Bangladesh
Resumen: Presently, Bangladesh is expending substantial efforts to digitize its national infrastructure, with a significant emphasis on achieving this goal through mobile applications that facilitate online payments and banking system advancements. Despite the lack of knowledge about the security level of these systems, they are currently in frequent use without much consideration. To observe whether they follow the minimum global set standards, we choose to conduct static and dynamic analysis of the applications using available open-source analyzers and open-source tools. This allows us to attempt to extract sensitive information, if possible, and determine whether the applications adhere to the standards of MASVS set by OWASP. We show how we analyzed 17 .apks and a SDK using open source scanner and discover security flaws to the applications, such as weaknesses related to data storage, vulnerable cryptographic elements, insecure network communications, and unsafe utilization of WebViews, detected by the scanner. These outputs demonstrate the need for extensive manual analysis of the application through source code review and dynamic analysis. We further implement reverse engineering and dynamic approach to verify the outputs and expose some applications do not comply with the standard method of network communication. Moreover, we attempt to verify the rest of the potential vulnerabilities in the next phase of our ongoing investigation.
Autores: Shahriar Hasan Mickey, Muhammad Nur Yanhaona
Última actualización: 2024-11-27 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2407.07766
Fuente PDF: https://arxiv.org/pdf/2407.07766
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.