eSoft Latinoamérica dio a conocer el reporte que realizó Symantec y en el que se identificaron 1.859 aplicaciones disponibles públicamente, tanto para Android como para iOS, que contienen credenciales de AWS codificadas. De ese número, casi todas eran aplicaciones de iOS (98 por ciento).
Al examinar el alcance y la magnitud de los riesgos involucrados cuando las credenciales de AWS se encuentran incrustadas dentro de las aplicaciones se encontró lo siguiente:
- Más de las tres cuartas partes (77 por ciento) de las aplicaciones contenía tokens de acceso de AWS válidos para el acceso a servicios privados en la Nube de AWS.
- Cerca de la mitad (47 por ciento) de esas aplicaciones contenían tokens de AWS válidos que también brindaban acceso completo a millones de archivos privados mediante Amazon Simple Storage Service (Amazon S3)
De manera similar a la cadena de suministro de bienes materiales, el desarrollo de software de aplicaciones móviles se somete a un proceso que incluye la recopilación de materiales, como bibliotecas de software y kits de desarrollo de software (SDK), la fabricación o el desarrollo de la aplicación móvil, y el envío del resultado final al cliente.
Algunos problemas de la cadena de suministro en las aplicaciones móviles que las hacen vulnerables son:
– Los desarrolladores de aplicaciones móviles utilizan, sin saberlo, bibliotecas de software externas vulnerables y SDK.
– Las empresas que subcontratan el desarrollo de sus aplicaciones móviles no verifican que el proveedor haya tenido en cuenta la seguridad desde el diseño.
– Las empresas, a menudo las más grandes, que desarrollan múltiples aplicaciones de manera interna permiten que sus equipos utilicen bibliotecas disponibles en Internet, pero no cuentan con pruebas de concepto y validación de seguridad.
“La seguridad es fundamental porque las aplicaciones actuales suelen estar disponibles en varias redes y conectadas al Cloud, lo que incrementa las vulnerabilidades y amenazas, mientras la empresa puede exponer su información confidencial y bases de datos ante los cibercriminales”, dice Ricardo Dossantos, gerente de servicios y ciberseguridad para Latinoamérica de eSoft.
Es posible protegerse de este tipo de problemas de la cadena de suministro al agregar soluciones de escaneo de seguridad al ciclo de vida de desarrollo de la aplicación y, si se utiliza un proveedor externo, solicitar y revisar el reporte de calificaciones de la aplicación móvil.
“La autenticación, el cifrado, el registro y las pruebas de seguridad de las aplicaciones son parte fundamental del ciclo de vida de cualquier aplicación, lo que ayudará a detectar a tiempo posibles brechas de seguridad”, manifiesta Dossantos.
