La vulnerabilidad de Eavesdropper dejó expuestos datos de más de 600 aplicaciones Android e iOS. Pero las mejores prácticas de desarrollo podrían haber evitado que se explotara en absoluto.
Video: Las mayores banderas rojas de la ciberseguridad empresarial¿Está su empresa preparada para un hacking? Anthony Grieco, Oficial de Estrategia de Confianza de Cisco, explica cómo aprender de los ataques y destaca los mayores errores que cometen las empresas con las políticas de ciberseguridad.
Una vulnerabilidad de la aplicación móvil llamada Eavesdropper, que se descubrió a principios de este año, ha sido detectada en más de 685 aplicaciones empresariales (44% Android, 56% iOS.
La vulnerabilidad se debe al uso de credenciales codificadas en aplicaciones móviles basadas en Twilio Rest API o SDK. Si se ven comprometidas, estas credenciales pueden proporcionar acceso global a todos los metadatos almacenados en las cuentas de Twilio, que pueden incluir mensajes de texto/SMS, detalles de llamadas y grabaciones de voz de todas las aplicaciones desarrolladas con las credenciales expuestas. Esta vulnerabilidad tiene el potencial de poner a las organizaciones en riesgo de divulgación de datos, chantaje u otros tipos de compromiso.
Según algunos expertos en seguridad, esta vulnerabilidad nunca debería haber sido explotable si se hubieran seguido las mejores prácticas adecuadas. Tim Erlin, vicepresidente de gestión de productos y estrategia de Tripwire, dijo que las contraseñas de código duro no deben ser utilizadas por los desarrolladores en primer lugar, ya que le dan a un atacante la capacidad de iniciar sesión en una cuenta que pertenece al desarrollador que creó la aplicación, y esas cuentas contienen información confidencial de ese desarrollador y su empresa.
VER: Política de desarrollo de aplicaciones móviles (Tech Pro Research)
Más información sobre ciberseguridad
«En la mayoría de los casos, estas cuentas Twilio están relacionadas con un negocio, y hay datos que un atacante podría robar o aprovechar», dijo. Peor aún, la vulnerabilidad podría afectar no sólo a una organización, sino a cualquier organización o individuo que utilice una aplicación afectada.
Erlin dijo que no hay una lista maestra de aplicaciones afectadas por la vulnerabilidad, pero que Google y Apple están eliminando activamente las aplicaciones afectadas. Por lo tanto, aplicar todas y cada una de las actualizaciones disponibles a tus aplicaciones móviles (o a las de tus usuarios) y comprobar si siguen siendo válidas en las tiendas de aplicaciones de Google o Apple es la mejor estrategia a seguir aquí. Si las aplicaciones ya no existen, elimínalas inmediatamente.
Si la aplicación aún existe, pero no hay ninguna actualización disponible, Erlin recomendó que se pusiera en contacto con el proveedor. «Compruebe con el proveedor si la aplicación está afectada. Si es así, hay que recurrir a ellos para que tomen medidas correctivas», dijo. «Si el vendedor no ha respondido, vale la pena presionarlo para que responda.»
La solución de Erlin para prevenir vulnerabilidades como Eavesdropper es una mejor educación sobre las prácticas generales de desarrollo de software seguro.
Josh Mayfield, director de marketing de productos de FireMon, dijo que la vulnerabilidad de Eavesdropper aporta un nuevo sabor al mundo de las amenazas móviles y ofreció más consejos sobre cómo evitar crear inadvertidamente dichas vulnerabilidades.
VER: Informe especial: Ciberseguridad en una IO y en el mundo móvil (PDF gratuito) (ZDNet/ConsejoTecnologico.com)
«Las organizaciones pueden ser víctimas de un ataque imprevisto que toma nota de los cambios que se producen en las aplicaciones infectadas. Esta técnica permite que un atacante aprenda sobre el usuario y sus comportamientos, conexiones, regularidades de comunicación, y más. Les permite correlacionar las tendencias de los usuarios y luego explotar los sistemas a los que el usuario tiene acceso. Esto le permite a Eavesdropper una medida de persistencia, como tratar de aplastar a una mosca doméstica excepcionalmente ágil», dijo Mayfield.
Con la creciente prevalencia de los perímetros de disolución y el acceso universal a la identidad, las organizaciones pueden quedar desconcertadas cuando la identidad en sí misma se ve comprometida. Mayfield dijo que la mejor manera de protegerse contra este tipo de exploit es el aseguramiento de la configuración en toda la red (en las instalaciones, en la nube, en entornos virtuales, etc.. En otras palabras, construir un marco de políticas de seguridad adaptable que pueda cortar el tráfico este-oeste una vez que el dispositivo móvil ha sido comprometido, impidiendo que se mueva a través de la red.
«El reto con este concepto es que a menudo hay múltiples sistemas en la cadena sin un punto de aplicación, como un cortafuegos, un conmutador o una puerta de enlace. Hay que implementar un punto de aplicación con una política de seguridad centrada en los activos», dijo. La política se puede ajustar para aumentar o restringir el acceso en función de los cambios, cuando un activo cambia de ubicación o atributos o cuando funciona de forma diferente.
VER: Defensa contra la ciberguerra: Cómo está trabajando la élite de la ciberseguridad para evitar un apocalipsis digital (PDF gratuito) (ConsejoTecnologico.com)
El objetivo es alejarse del modelo de simplemente usar un cortafuegos y dictar qué tráfico está permitido o bloqueado, y acercarse a una filosofía de igualar el comportamiento esperado de los dispositivos con el acceso y las operaciones permitidos. Las credenciales por sí solas no son suficientes para mitigar los riesgos, sino más bien atributos de los activos que determinan el comportamiento. Por lo tanto, si un dispositivo se ve afectado por Eavesdropper, la organización puede poner en cuarentena la infección con la aplicación de seguridad automatizada para evitar la propagación.
Mayfield también recomendó que los desarrolladores utilicen la autenticación de dos factores para prevenir vulnerabilidades como Eavesdropper. «Esto supone una cierta carga; el usuario final se ve a menudo molesto por tener que dar respuestas a preguntas de reto o teclear un código para 2FA, pero ese es el coste de la seguridad», dijo. Obviamente, los departamentos de TI harían bien en comunicar los motivos de estos costes, así como los riesgos derivados del incumplimiento de los mismos.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
mismo