Pruebas de seguridad de aplicaciones móviles
Los lenguajes tienen sus propios matices. Al igual que un firewall o servidor, la sintaxis adecuada de la configuración y la atención a las sutilezas de la plataforma puede conducir al éxito o el fracaso en lo que respecta a la seguridad. Ya sea que esté manejando o no datos sensibles, las aplicaciones (especialmente de la variedad web) pueden ser el primer apoyo que un atacante toma al romper una red desde el exterior, lo que lleva a obtener más vectores de acceso dentro de la organización. Con una visión especialista y un puñado de herramientas útiles, una revisión de código puede hacer toda la diferencia para la seguridad de una aplicación.
Análisis Estático de Código
El análisis estático es una capacidad poderosa que evalúa todas las rutas de ejecución dentro de la aplicación para detectar patrones vulnerables.
El análisis de estático es capaz de detectar vulnerabilidades causadas por configuraciones inseguras, como el uso de cifrados criptográficos débiles, o vulnerabilidades causadas por aceptar entradas no confiables sin validación.Impulsado por un motor combinado de huellas digitales que comprende todos los marcos principales como Cordova, Ionic, Xamarin o React Native y todos los sistemas de administración de paquetes populares, como Gradle, Cocoapods, npm o nuget, nuestros análisis son capaces de detectar dependencias vulnerables.
Adicionalmente con procedimientos manuales realizados por nuestros especialistas, es posible detectar vectores de ataque e informar vulnerabilidades relacionadas con la transmisión de datos, en la comunicación entre API, Web Services y componentes relacionados.
Análisis Dinámico de Código
El análisis dinámico monitorea el comportamiento de la aplicación en un dispositivo real. Mediante el análisis basado en depuración, la instrumentación dinámica es compatible con la última versión de Android e iOS y proporciona resultados sin falsos positivos.
El análisis dinámico también usa tester (software) para interactuar con la aplicación y maximizar la cobertura durante las pruebas. De esta manera es capaz de identificar heurísticamente formularios de inicio de sesión, menú de pago o direcciones de envío. El análisis de comportamiento enumera la superficie de ataque de la aplicación y la inyecta con datos de ataque para detectar vulnerabilidades.
Estas vulnerabilidades van desde la inyección de SQL hasta la corrupción de la memoria. El análisis de comportamiento realizado, implementa un enfoque evolutivo avanzado que proporciona una alta cobertura dentro de la aplicación.
Análisis Backend y explotaciónes
El análisis de backend utiliza solicitudes de API recopiladas durante el análisis dinámico para rastrear el servidor de backend y detectar vulnerabilidades. El análisis de backend está diseñado para aplicaciones móviles y comprende los protocolos de serialización de API como REST, GraphQL o Protobuf. El fuzzing de backend utiliza un enfoque novedoso impulsado por el aprendizaje automático, que proporciona capacidades de detección avanzadas con un número muy bajo de solicitudes.