¿Son seguras las apps de los bancos?

Dinero móvil

Según un estudio llevado a cabo hace un par de meses por GFT, en 2017 mil millones de personas en el mundo utilizarán la banca móvil.

Este mismo informe concluye que España es uno de los países con mayor uso de apps bancarias, pues más del 60% de los usuarios de móvil asegura haberlas utilizado alguna vez. Este dato contrasta con el 26% de los alemanes.

Utilizamos la banca móvil más que nadie. Seguramente porque pensamos, con lógica, que sus apps deben ser las más fiables. No en vano tienen más dinero que nadie para invertir en seguridad.

Pues bien, no es así. Al menos, según el análisis que ha llevado a cabo la empresa de seguridad IO Active, que suministra hardware y software de protección a buena parte de las 500 empresas más poderosas del mundo.

Los analistas de IO Active han diseccionado 40 apps bancarias de los bancos más importantes del mundo, incluidos algunos españoles, y ha concluido que el 90% de estas aplicaciones bancarias no son seguras. Así de rotundo.

Entonces, ¿cuáles son las vulnerabilidades que presentan?

Un estudio exhaustivo

Por razones de seguridad, IO Active no ha desvelado los bancos que ha analizado ni las vulnerabilidades de cada uno de ellos.

Durante 40 horas se realizaron 23 test para así poder poner a prueba la robustez de las apps. 

Estos incluían análisis de transportes, protección anti-jailbreak, validación de datos de entrada y salida, análisis de la base de datos, chequeos de ficheros logs, logging, desensamblado de la aplicación, análisis de las protecciones anti-debugging, librerías de terceros, etc.

Vamos a desgranar los principales hallazgos del informe, para saber más sobre los fallos de seguridad y los potenciales ataques hacker a los que estamos expuestos.

App lacaixa

Análisis de Caja Negra

Nada menos que el 90% de las apps analizadas usaban, en algún momento de la sesión, enlaces sin cifrado SSL. Seguramente esto ocurre cuando no se maneja información sensible, pero abre las puertas a que un hacker inyecte código HTML/Javascript con facilidad.

De hecho, el 50% de las apps bancarias analizadas eran vulnerables a inyecciones de JavaScript (XSS) a través de implementaciones inseguras de UIWebView. Desde una de las apps, IO Active pudo enviar SMS y emails usando el móvil de la “víctima”.

Actualmente, se ha puesto muy de moda una nueva generación de ataques de phishing que le dice al usuario que reescriba su nombre de usuario y contraseña porque la sesión ha expirado. Entonces el troyano recoge esos datos y luego los usa para acceder sin problemas a la cuenta bancaria.

Descubre las mejores aplicaciones Android 2014

Así, IO Active ha conseguido insertar código en una de las apps bancarias que hace exactamente eso, obteniendo las contraseñas, tal y como se ve en la imagen superior.

El 40% de las apps tampoco validaron los certificados SSL presentados. Además, son susceptibles a ataques MiTM (intermediarios). 

El 20% de las apps no tenían protección PIE&Stacks. Esto las hace más vulnerables a ataques que buscan corromper la memoria en uso, para así provocar un fallo en la app y penetrar en sus datos.

Análisis estático

Por si fuera poco, buena parte de los ficheros log que generan las apps (registros de actividades cuando se produce algún fallo o se cierra la sesión) incluían algún tipo de información personal. De nuevo, IO Active consiguió las contraseñas de usuario en una app a través del log del sistema, usando para ello una herramienta de configuración del iPhone de Apple.

Apps analizadas según país

El software

Durante el estudio, se usaron las  utilidades Clutch e IDA PRO para descifrar y desensamblar el código binario. Su análisis halló bases de datos SQLite sin cifrar con información sensible, como el historial de transacciones.

Del mismo modo, el 70% de las apps filtraban información de baja peligrosidad, pero información privada al fin y al cabo, como la dirección IP del usuario, la organización de las carpetas de uso interno de la app, y otros datos aprovechables por los hackers para poder buscar otras vulnerabilidades por las que entrar en el sistema.

¿Hay un peligro real?

Tal y como hemos comentado a lo largo del artículo, IO Active ha conseguido el nombre de usuario y las contraseñas en al menos dos de las cuarenta apps bancarias que fueron analizadas. Con esos datos, se podría haber entrado en sus cuentas y tarjetas para transferir dinero. Además, el 90% de las apps han mostrado algún tipo de vulnerabilidad que, en manos de delicuentes expertos, podrían haber provocado algún tipo de ataque.

Son datos preocupantes porque, como hemos dicho, se supone que los bancos son las entidades que más dinero y recursos dedican al tema de la seguridad.

Puesto que las apps bancarias no son seguras al 100%, si las usas a menudo te conviene dedicar la máxima atención a tus propias medidas de seguridad. Por ejemplo, instala un antivirus de calidad en tu smartphone o tablet, realiza chequeos antimalware a menudo, actualiza siempre el sistema operativo y también las apps a través de Google Play o la App Store, y no descargues software ni ficheros que consideres sospechosos.

Como ves, son todas ellas medidas universales que se aplican a todos los usos de los dispositivos móviles, pero que son críticas cuando estamos hablando de proteger nuestro dinero.

Descubre la nueva moda de los wallet

¿Son seguras las apps bancarias?

En este gráfico puedes ver  los porcentajes de apps móviles que presentan un determinado tipo de vulnerabilidad.

Hay datos abrumadores. El 90% de las apps realiza alguna comunicación sin cifrado SSL, o no detecta si el móvil tiene instalado el jailbreak, que es el primer paso para intentar algún ataque por parte de hackers delicuentes.

El 70% produce goteos de información menor y un porcentaje importante son vulnerables a ataques XSS o MiTM, que podrían romper la seguridad de la app.

El 30% mostraba credenciales en el código, que es donde se revelaban determinados aspectos de seguridad de la app. Y un 20%  no protegían los desbordamientos de RAM.

Tienes una explicación más detallada de estas vulnerabilidades en el texto de este artículo.

Apps bancarias