Un 84% de las apps de ecommerce contiene vulnerabilidades de alto nivel

Las aplicaciones móviles de compras no son seguras. Es una afirmación contundente, pero con una base detrás que la sostiene

Las aplicaciones móviles de compras no son seguras. Es una afirmación contundente, pero con una base detrás que la sostiene. La firma Appknox ha realizado un estudio en colaboración con SEWORKS en el que ha intentado probar la seguridad de las 50 principales apps de la categoría de compras en EE.UU.

Los resultados han sido bastante reveladores: todas las apps incluían riesgos de seguridad. Un 84% de los títulos analizados contaba con al menos tres vulnerabilidades de alto nivel. Además, prácticamente la mitad de las aplicaciones incluían más de 5 vulnerabilidades de alto nivel. En total se identificaron 274 vulnerabilidades en el medio centenar de herramientas evaluadas. Para llegar a estos resultados las aplicaciones se probaron en 34 categorías diferentes de tests de seguridad.

El problema es que las apps de comercio electrónico suelen almacenar datos privados de los usuarios muy sensibles, como las direcciones físicas de envío de los productos o la información de la tarjeta de crédito, por lo que los resultados obtenidos son bastante preocupantes.

Un 94% de las aplicaciones móviles falló en una prueba que se realizó y que se denominó “Receptores exportados no protegidos”. Las apps de Android exportan receptores que responden a anuncios de transmisión externa y se comunican con otras aplicaciones. Cuando los receptores no están protegidos, los hackers pueden modificar el comportamiento de las apps como deseen e insertar datos que no pertenezcan a las apps.

Por otro lado, se descubrió que un 70% de los títulos se vieron afectados por “actividades exportadas no protegidas”. Las actividades se ejecutan a través de un acceso autorizado. Cuando una actividad es exportada sin protección, se puede iniciar de forma remota fuera de la aplicación. Eso puede dar la oportunidad a los ciberdelincuentes para acceder a información confidencial, modificar la estructura interna de las apps o engañar a un usuario para que se comunique con la aplicación comprometida, mientras piensa que sigue interactuando con la app original.

Por último, un 64% de las aplicaciones se vieron afectadas por el “Cliente WebView extensible a la aplicación”. Según explican desde Appknox, cuando los Clientes WebView no están correctamente protegidos en extensiones in-app, los hackers pueden engañar a los usuarios para que introduzcan información personal sensible en aplicaciones fake o copiadas, resultando en la pérdida de datos de usuario, daños y SSL comprometidas.

“Escogimos la categoría de compras porque es una de las más populares en términos de descargas y actividad. Con el creciente acceso a los smartphones y a un Internet confiable en todo el mundo hay mucha gente dando el salto al ecommerce y ecommerce, pero ¿están seguros?”, se preguntaban desde Appknox. Para la consultora, la categoría también es importante debido a las “numerosas transacciones financieras que se hacen a diario” en estas apps.

Con el trabajo la firma ha pretendido generar conciencia de que muchas aplicaciones móviles de hoy en día están plagadas de problemas de seguridad y vulnerabilidades. Además, quiere trasladar el mensaje de que “resulta importante que las empresas se vuelvan proactivas y realicen controles de seguridad antes de lanzar aplicaciones móviles”.