El análisis de investigación realizado sobre las aplicaciones
bancarias se realizaron teniendo en cuenta los siguientes puntos durante
la auditoria:
- Modificación de la aplicación y comprobar su posible instalación y funcionamiento.
- Comportamiento anti malware, captura pantalla durante su funcionamiento.
- Comportamiento anti malware, captura teclado y claves.
- APP testean si el dispositivo son root.
Las APP Android auditadas pertenecen a las entidades financieras y para sistema Android:
- BBVA Banca y BBVA Wallet
- Santander
- La Caixa
- Bankia
- ING
Alteración de la APP, primera prueba del análisis:
Se intenta modificar/alterar de forma "básica" las APPs, añadir una
nueva firma y tener la aplicación dos veces instalada con el código
original, para comprobar si un malware puede alterar el control natural
de la aplicación financiera. Los resultados son los siguientes:
- BBVA Banca y BBVA Wallet, permite la modificación y alteración de la firma, se puede instalar, pero sin embargo la aplicación no es funcional y genera error. Valoración; Seguridad buena.
- Santander, permite la modificación y alteración de la firma, permite su instalación y la aplicación es funcional. Valoración; Seguridad mala.
- La Caixa, no permite realizar la modificación, comprueba su edición. Valoración; Seguridad muy buena.
- Bankia, permite la modificación y alteración de la firma, permite su instalación y la aplicación es funcional. Valoración; Seguridad mala.
- ING, permite la modificación y alteración de la firma, permite su instalación y la aplicación es funcional. Valoración; Seguridad mala.
Capturar pantalla durante el logueo de claves bancarias, segunda prueba del análisis:
La segunda prueba en simple, se testean que APPs permiten realizar una
captura de la pantalla o grabar la pantalla durante la actividad de un
usuario, durante el proceso de logueo y durante su interactividad de la
banca online, el propósito es comprobar si un malware o un troyano
pueden capturar nuestras credenciales o durante nuestra actividad
bancaria. Los resultados son los siguientes:
- BBVA Banca y BBVA Wallet, permitió en algunos casos la captura de la pantalla, ocurrió en un 50% de las veces en la APP de Banca durante el logueo y actividad, sin embargo en BBVA Wallet no permitió ninguna vez. Valoración; Seguridad media en Banca, Seguridad Buena en Wallet.
- Santander, permite la captura de pantalla y actividad. Valoración; Seguridad mala.
- La Caixa, permite realizar capturas del logueo. Valoración; Seguridad media.
- Bankia, permite realizar capturas del logueo, pero no durante la actividad. Valoración; Seguridad media.
- ING, permite la captura de pantalla y actividad. Valoración; Seguridad mala.
Capturar toda actividad del teclado durante el logueo de claves bancarias y actividad, tercera prueba del análisis:
El siguiente análisis en más fácil para el auditor pero más complicado
para los programadores de las APPs bancarias ya que sería programar un
sistema que detecte un keylogger (captura teclado) en el dispositivo o
comprobar los procesos activos del dispositivo y ver rutinas maliciosas,
cosa muy compleja, el propósito es comprobar si un malware o un troyano
puede capturar nuestras credenciales o nuestra actividad. Los
resultados es son los siguientes:
- BBVA Banca y BBVA Wallet, permite capturar toda la actividad, Valoración; Seguridad mala.
- Santander, permite capturar toda la actividad, Valoración; Seguridad mala.
- La Caixa, permite capturar toda la actividad, Valoración; Seguridad mala.
- Bankia, permite capturar toda la actividad, Valoración; Seguridad mala.
- ING, permite capturar toda la actividad, Valoración; Seguridad mala.
Comprobar si la APP testea si el dispositivo esta rooteado (root ? súper usuario), cuarta prueba del análisis:
La prueba consiste durante la instalación del aplicativo o
interactividad de las funciones bancarias nos alerta o bloquea alguna
acción bancaria. Algunos aplicativos con gestión financiera no permiten
la instalación en dispositivos rooteado al ser sensibles de ser atacados
por malware o programas espías, aunque en realidad en un dispositivo
rooteado la funcionalidad de un cortafuegos es posible al ser super
usuario y otras funciones de seguridad, aunque seria para usuarios con
mas experiencia. Un ejemplo de testeo de rooteo es la APP de Apuestas y
Loterías del Estado, donde no permite la instalación de la aplicación
en dispositivos roteados por seguridad. Los resultados son los
siguientes:
- BBVA Banca y BBVA Wallet, BBVA Banca permite instalación y alerta del rooteo del dispositivo, BBVA Wallet permite su instalación, alertando que la función NFC de pago no está permitida en en pagos, Valoración; Banca Seguridad media. Wallet Seguridad Alta.
- Santander, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.
- La Caixa, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.
- Bankia, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.
- ING, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.
Resumen final de las APPs auditadas:
- BBVA Wallet, Seguridad: -1 / + 3 (aprueba)
- BBVA Banca, Seguridad: - 2 / + 2 (media)
- La Caixa, Seguridad: -3 / + 1 (suspende)
- Bankia, Seguridad: - 3 / + 1 (suspende)
- Santander, Seguridad: -4 (suspende)
- ING, Seguridad: - 4 (suspende)
Como
podemos comprobar en un análisis simple, aún queda mucho trabajo por
realizar en medidas de prevención y seguridad en las aplicaciones
bancarias para terminales móviles. Afortunadamente algunas entidades
financieras realizan un seguimientos de los problemas de seguridad
reportados por los propios clientes en la pasarela Google Play Store,.
José María Luque.
Fuente:
No hay comentarios:
Publicar un comentario