Durante la última década Internet ha sufrido una evolución muy importante, convirtiéndose en uno de los principales canales publicitarios y de venta que tienen muchas empresas hoy en día. El temor ante el fraude es la primera respuesta que surge ante preguntas sobre la seguridad de la empresa, pero es necesario contemplar todos y cada uno de los aspectos que intervienen en la seguridad de las aplicaciones y la comunicación entre ellas. La Auditoría de la Aplicación Móvil detectará deficiencias o vulnerabilidades de seguridad en la aplicación analizada.
Las actuaciones que se llevan a cabo para realizar la Auditoría de Aplicación Móvil siguen la filosofía de caja negra, es decir, en ningún momento se audita el código fuente de la aplicación.
El motivo de esta metodología de trabajo es la de simular la actuación real de un atacante malicioso que, a través de las aplicaciones auditadas, y sin disponer de su código fuente, intente realizar un ataque al sistema.
Para lleva a cabo la auditoría de las aplicaciones corporativas dividimos el proceso en varias fases:
Análisis Funcional
Se realiza un estudio general de la aplicación, adquiriendo una visión global de las funcionalidades que proporciona con el fin de plantear las actuaciones y procedimientos óptimos que se llevan a cabo en el Análisis Técnico.
Análisis Técnico
Se realiza un análisis de la aplicación de manera que se pueda decidir a qué tipos de ataques es sensible.
Diseño de las pruebas
En esta fase se diseñan las pruebas a realizar para explotar aquellas deficiencias de seguridad que puedan aparecer en la aplicación auditada.
Desarrollo de las pruebas
Se programarán las pruebas a ejecutar, y se determinará el orden en el que se llevarán a cabo.
Realización de las pruebas
Durante esta fase se llevan a cabo todas las pruebas sobre la aplicación auditada, se analizan los resultados obtenidos y en el caso de detectar nuevas vulnerabilidades a explotar se vuelve a la fase de diseño para intentar explotarlas.
Pruebas para la Recopilación de Información
- Análisis de requerimientos necesarios para la Auditoría
- Análisis de los requisitos de Comunicación.
- Análisis de las funcionalidades y/o características de la aplicación.
- Análisis de la arquitectura software de la aplicación.
Pruebas para el Análisis Estático
- Requerimientos necesarios para la auditoría de código.
- Revisión del proceso de Autenticación.
- Revisión de los métodos de almacenamiento de Información.
- Gestión de las comunicaciones Seguras.
- Búsqueda de información sensible accesible.
Pruebas para el Análisis Dinámico
- Análisis a nivel de App Cliente.
- Análisis a nivel de comunicaciones.
- Análisis a nivel de servidor o backend API.
Tras la ejecución de las pruebas, se analizan los resultados obtenidos y se genera la documentación asociada.
- Resumen ejecutivo del resultado de la Auditoría.
- Resultados obtenidos en los diferentes tests que se han realizado, identificando los problemas de seguridad encontrados y especificando en qué condiciones se encontraron, con el fin que puedan ser reproducidas (dentro de lo posible) para facilitar su localización y resolución.
- Recomendaciones que permitan solucionar de la forma más acertada los problemas de seguridad encontrados.
- Clasificación de los problemas de seguridad detectados según su nivel de peligrosidad.