Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1082
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
marzo
(Total:
36
)
- Doble factor de autenticación o verificación en do...
- CopperheadOS es el fork abierto ultraseguro de And...
- Cabeceras de Seguridad HTTPS en el servidor web Ng...
- Lexar presenta una tarjeta microSDXC UHS-I de 200GB
- Gigabyte presenta la nueva GTX 960 Xtreme Gaming
- El FBI logra hackear el iPhone de San Bernardino
- 1 de cada 4 internautas españoles utiliza adblockers
- Aplicaciones bancarias móviles: la mayoría no apru...
- Las nuevas tarjetas contactless NFC no son tan seg...
- Apple criticada tras “burlarse de la gente pobre”
- Cómo tener dos cuentas a la vez de WhatsApp, Faceb...
- Cellebrite, la compañía israelí que ayuda al FBI a...
- La piratería de la TV de pago con CardSharing
- Kali Linux 2.1.2 para dispositivos ARM ya es compa...
- La herramienta BinDiff es ahora gratuita
- Surprise, un ransomware que se instala a través de...
- Empleados de Apple amenazan con dimitir antes de s...
- Un estudiante se imprime un aparato dental en 3D p...
- El propietario de una conexión wifi en un bar no e...
- ProtonMail, el correo cifrado, ultraseguro y libre...
- Metaphor, un exploit basado en Stagefright, secues...
- Así obtuvo las fotos íntimas de famosas el hacker ...
- Google Nexus 5X y Nexus 6P bajan de precio
- Navega de forma anónima (VPN + TOR) con un router ...
- PiDrive, el disco duro económico de 314 GB para la...
- AMD anuncia Radeon Pro Duo, la tarjeta gráfica más...
- El error ortográfico de un delincuente le impide r...
- Verizon pagará 1,2 millones a las autoridades esta...
- Facebook soluciona fallo que permitía hackear cuen...
- KeRanger es el primer ataque de ransomware para Ma...
- Recopilación comandos Windows con interfaz gráfica
- SSD de 16TB de Samsung ya está a la venta a un pre...
- Cazan a Kanye West, defensor del copyright, con un...
- DROWN: vulnerabilidad crítica en sitios HTTPS con ...
- FBI reconoce un error al manejar el iphone del aut...
- Facebook activa la posibilidad de emitir vídeo en ...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
354
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
236
)
manual
(
221
)
software
(
206
)
hardware
(
196
)
linux
(
126
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un conector HDMI dummy o fantasma no es más que un HDMI que simula que hay una pantalla conectada. Tienen una variedad de propósitos útil...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
Aplicaciones bancarias móviles: la mayoría no aprueban en seguridad
lunes, 28 de marzo de 2016
|
Publicado por
el-brujo
|
Editar entrada
Todo lo necesario está disponible en nuestros dispositivos móviles,
nuestras cuentas de correo electrónico, redes sociales, comunicaciones y
por supuesto nuestras transacciones financieras están al alcance de
nuestros teléfonos inteligentes ¿pero son seguras las APPs bancarias de
nuestras entidades financieras?. Para averiguarlo he realizado un test
donde comprobamos el nivel de seguridad de distintas entidades
financieras y los resultados obtenidos indican que aprueban el BBVA
Wallet y BBVA Banca y suspenden Santander, La Caixa, Bankia e ING.
El análisis de investigación realizado sobre las aplicaciones
bancarias se realizaron teniendo en cuenta los siguientes puntos durante
la auditoria:
- Modificación de la aplicación y comprobar su posible instalación y funcionamiento.
- Comportamiento anti malware, captura pantalla durante su funcionamiento.
- Comportamiento anti malware, captura teclado y claves.
- APP testean si el dispositivo son root.
Las APP Android auditadas pertenecen a las entidades financieras y para sistema Android:
- BBVA Banca y BBVA Wallet
- Santander
- La Caixa
- Bankia
- ING
Alteración de la APP, primera prueba del análisis:
Se intenta modificar/alterar de forma "básica" las APPs, añadir una
nueva firma y tener la aplicación dos veces instalada con el código
original, para comprobar si un malware puede alterar el control natural
de la aplicación financiera. Los resultados son los siguientes:
- BBVA Banca y BBVA Wallet, permite la modificación y alteración de la firma, se puede instalar, pero sin embargo la aplicación no es funcional y genera error. Valoración; Seguridad buena.
- Santander, permite la modificación y alteración de la firma, permite su instalación y la aplicación es funcional. Valoración; Seguridad mala.
- La Caixa, no permite realizar la modificación, comprueba su edición. Valoración; Seguridad muy buena.
- Bankia, permite la modificación y alteración de la firma, permite su instalación y la aplicación es funcional. Valoración; Seguridad mala.
- ING, permite la modificación y alteración de la firma, permite su instalación y la aplicación es funcional. Valoración; Seguridad mala.
Capturar pantalla durante el logueo de claves bancarias, segunda prueba del análisis:
La segunda prueba en simple, se testean que APPs permiten realizar una
captura de la pantalla o grabar la pantalla durante la actividad de un
usuario, durante el proceso de logueo y durante su interactividad de la
banca online, el propósito es comprobar si un malware o un troyano
pueden capturar nuestras credenciales o durante nuestra actividad
bancaria. Los resultados son los siguientes:
- BBVA Banca y BBVA Wallet, permitió en algunos casos la captura de la pantalla, ocurrió en un 50% de las veces en la APP de Banca durante el logueo y actividad, sin embargo en BBVA Wallet no permitió ninguna vez. Valoración; Seguridad media en Banca, Seguridad Buena en Wallet.
- Santander, permite la captura de pantalla y actividad. Valoración; Seguridad mala.
- La Caixa, permite realizar capturas del logueo. Valoración; Seguridad media.
- Bankia, permite realizar capturas del logueo, pero no durante la actividad. Valoración; Seguridad media.
- ING, permite la captura de pantalla y actividad. Valoración; Seguridad mala.
Capturar toda actividad del teclado durante el logueo de claves bancarias y actividad, tercera prueba del análisis:
El siguiente análisis en más fácil para el auditor pero más complicado
para los programadores de las APPs bancarias ya que sería programar un
sistema que detecte un keylogger (captura teclado) en el dispositivo o
comprobar los procesos activos del dispositivo y ver rutinas maliciosas,
cosa muy compleja, el propósito es comprobar si un malware o un troyano
puede capturar nuestras credenciales o nuestra actividad. Los
resultados es son los siguientes:
- BBVA Banca y BBVA Wallet, permite capturar toda la actividad, Valoración; Seguridad mala.
- Santander, permite capturar toda la actividad, Valoración; Seguridad mala.
- La Caixa, permite capturar toda la actividad, Valoración; Seguridad mala.
- Bankia, permite capturar toda la actividad, Valoración; Seguridad mala.
- ING, permite capturar toda la actividad, Valoración; Seguridad mala.
Comprobar si la APP testea si el dispositivo esta rooteado (root ? súper usuario), cuarta prueba del análisis:
La prueba consiste durante la instalación del aplicativo o
interactividad de las funciones bancarias nos alerta o bloquea alguna
acción bancaria. Algunos aplicativos con gestión financiera no permiten
la instalación en dispositivos rooteado al ser sensibles de ser atacados
por malware o programas espías, aunque en realidad en un dispositivo
rooteado la funcionalidad de un cortafuegos es posible al ser super
usuario y otras funciones de seguridad, aunque seria para usuarios con
mas experiencia. Un ejemplo de testeo de rooteo es la APP de Apuestas y
Loterías del Estado, donde no permite la instalación de la aplicación
en dispositivos roteados por seguridad. Los resultados son los
siguientes:
- BBVA Banca y BBVA Wallet, BBVA Banca permite instalación y alerta del rooteo del dispositivo, BBVA Wallet permite su instalación, alertando que la función NFC de pago no está permitida en en pagos, Valoración; Banca Seguridad media. Wallet Seguridad Alta.
- Santander, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.
- La Caixa, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.
- Bankia, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.
- ING, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.
Resumen final de las APPs auditadas:
- BBVA Wallet, Seguridad: -1 / + 3 (aprueba)
- BBVA Banca, Seguridad: - 2 / + 2 (media)
- La Caixa, Seguridad: -3 / + 1 (suspende)
- Bankia, Seguridad: - 3 / + 1 (suspende)
- Santander, Seguridad: -4 (suspende)
- ING, Seguridad: - 4 (suspende)
Como
podemos comprobar en un análisis simple, aún queda mucho trabajo por
realizar en medidas de prevención y seguridad en las aplicaciones
bancarias para terminales móviles. Afortunadamente algunas entidades
financieras realizan un seguimientos de los problemas de seguridad
reportados por los propios clientes en la pasarela Google Play Store,.
José María Luque.
Fuente:
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.