25 marzo, 2015

Ataques de inyección de código en aplicaciones móviles basadas en HTML5

Hola a tod@s

Con nuestros Smartphone escaneamos códigos QR, realizamos envíos de mensajes, escuchamos música o vemos videos. En estos pequeños gestos podemos estar expuestos a infectarnos o ser víctimas de robo de información.

Una tecnología emergente HTML5 se ha convertido en nuevo vector de ataque, el desarrollo de aplicaciones basadas en HTML5 ha ido ganando rápidamente popularidad en la industria móvil. Un reciente informe de Gartner dice que para el año 2016, cincuenta por ciento de las aplicaciones móviles utilizará las tecnologías basadas en HTML5.

¿Qué plataformas están afectadas?
Todos los principales sistemas móviles se verán afectados, incluyendo Android, iOS, Blackberry, Windows Phone, etc., porque todos ellos admiten aplicaciones móviles basadas en HTML5.

Un problema notorio de la tecnología basada en HTML5 es que código malicioso puede inyectar fácilmente en el programa y ejecutado. Es por ello que el ataque Cross-Site Scripting (XSS) sigue siendo uno de los ataques más comunes en la Web. Sólo pueden hacer objetivo a ataques XSS en aplicaciones web a través de un solo canal (es decir, Internet), pero con la adopción de la misma tecnología en dispositivos móviles, se ha descubierto que un tipo similar de ataque no puede ser sólo lanzado contra aplicaciones móviles, puede atacar de muchos canales, incluyendo código QR, exploración de Wi-Fi, canciones MP3, videos MP4, Mensajes SMS, etiquetas NFC, lista de contactos, etc.. Tanto como una aplicación basada en HTML5 muestra información obtenida del exterior o de la aplicación, puede ser una víctima potencial.

¿Qué hace una aplicación Vulnerable?

  1. En primer lugar, esta aplicación debe basarse en la tecnología basada en HTML5, es decir, su código (o parte de su código) está escrito en JavaScript. Si la aplicación está escrita usando el lenguaje nativo de la plataforma (por ejemplo Java para Andrid) y Object-C para iOS, es inmune a este tipo de ataques.
  2. En segundo lugar, si existe un canal para la aplicación recibir datos desde afuera. Los datos pueden ser desde fuera del dispositivo (por ejemplo, análisis de código QR) o desde otra aplicación en el mismo dispositivo (por ejemplo, la lista de contacto).
  3. En tercer lugar, la aplicación necesita mostrar la información desde afuera. La elección de las API para mostrar la información es crítica. Algunas API es seguro, pero muchos de ellos no lo son.
¿Cómo funciona el ataque?








No seáis malos.

0 comentarios:

Publicar un comentario