Todos los bancos presentan vulnerabilidades en sus aplicaciones móviles
- Endpoint
La vulnerabilidad más común era la potencial Inyección SQL. También se encontraron más de 3.000 metadatos relacionados con el software, la mayoría de ellos versiones antiguas. Un atacante podría intentar utilizar exploits para acceder a la red de la organización.
También puedes leer... |
A medida que el mundo se vuelve digital, surgen nuevas oportunidades y amenazas. El Informe global de aplicaciones bancarias de ElevenPaths pretende ofrecer una visión general de algunas de las amenazas digitales para una de las industrias más importantes y de mayor confianza: el sector bancario. Concretamente, este informe se ha realizado para evaluar cómo los bancos están protegiendo sus aplicaciones móviles, la prevención de fugas de información de metadatos y los dispositivos y hosts expuestos en Internet.
Respecto a las aplicaciones móviles, se encontró que todos los bancos, independientemente de su ubicación e ingresos, tenían vulnerabilidades en sus apps oficiales. Teniendo en cuenta la cantidad de datos confidenciales de los clientes con los que tratan, se trata de un problema grave. Eñ análisis mostró que la puntuación global de riesgo era de 7,27 (alta), siendo los bancos de Asia, África y América del Sur los que obtuvieron la puntuación más alta.
La mayoría de las vulnerabilidades en las aplicaciones móviles analizadas estaban causadas principalmente por fallos en la calidad del código. La vulnerabilidad más común era la potencial Inyección SQL. El número medio de permisos solicitados por una aplicación bancaria fue de 19, con permisos intrusivos como CALL_PHONE, READ_CONTACTS, READ_SMS, WRITE_SMS, READ_CALENDAR y WRITE_SETTINGS presentes en varias aplicaciones.
En el análisis se detectaron 289 cuentas de administrador y varias cuentas genéricas con características de administradores. Se encontraron más de 3.000 metadatos relacionados con el software, la mayoría de ellos versiones antiguas que ya no son compatibles con sus desarrolladores. Un atacante podría intentar utilizar exploits para que este software acceda a la red de la organización. El análisis de los archivos públicos también ha dado a los investigadores información relacionada con ubicaciones físicas y los nombres de varios servidores e impresoras, información que no debe ser pública debido a las posibles implicaciones que puede causar si un actor malicioso quiere causar daño.
Por último, más del 96% de los hosts identificados utilizaron HTTPS, por lo que todavía hay una gran cantidad de servicios HTTP, que se considera un protocolo no seguro. Alrededor del 50% de los bancos consideraron que utilizan Akamai, lo que implica que el tráfico pasa principalmente por servidores norteamericanos. Los bancos que no utilizan Akamai tienden a alojar sus servicios localmente, con la excepción de Asia. Uno de los hosts relacionados con un banco de África tiene la vulnerabilidad Heartbleed. La mayoría de los servicios están alojados en Norteamérica.