Para visualizar el sitio de manera óptima actualice el navegador. ×

Han pasado 7 años desde que tuve que testear la seguridad de una aplicación móvil por primera vez, teniendo casi nada de experiencia en el rubro. En ese momento, tuve la oportunidad de experimentar, aprender y analizar un gran número de aplicaciones en múltiples plataformas (J2ME, Android, iOS, Blackberry, Windows Phone), dar charlas y trainings, y fui capaz de echarle un vistazo al actual estado de seguridad en el desarrollo de aplicaciones móviles. La idea detrás de esta charla, es compartir con los presentes lo que he aprendido a lo largo de estos años, las vulnerabiliades más comunes al ir desarrollando dispositivos móviles, algunos ejemplos reales (FAILs) de proyectos en los que he trabajado y daré algunas demostraciones en vivo.

El proyecto Top 10 OWASAP móvil será discutido y comparado con la versión Web. Los ejemplos demostrados serán de diferentes tipos de aplicaciones móviles testeadas por el speaker, y se abaracarán los siguientes tipos de vulnerabilidades. Todos los ejemplos serán tomados de aplicaciones reales.

  • Divulgación de información (Contraseñas encontradas en el source code del mobile banking de la app).

  • Almacenamiento inseguro (apps de Banking y pagos que almacenan información sensible en el cache y logs del dipositivo).

  • Backup permitido (pantallas de bloqueo de aplicación de pago a través de recuperación de PIN via Data backup).

  • Controles débiles por parte del servidor (App de Pago Móvil divulga información de pagos a través de parametros de manipulación).

  • Criptografía rota (aplicación POS móvil usando lectores compatibles que filtran el DKUPT BDK a través de manipulación de API).

  • Decisiones de seguridad via ingresos poco confiables (salto de bloqueo de PIN de aplicación via función hooking en una aplicación Google).

Los presentes se irán de la charla con el conociemiento necesario para poder dar los primeros pasos en el mundo de la seguridad de aplicaciones móviles, así como también sabrán qué tipo de vulnerabilidades pueden afectar el software que usan o desarrollan.

Instructor

Gustavo Sorondo

Gustavo Sorondo tiene 33 años y es CTO de Cinta Infinita. En su carrera profesional trabajó en más de 100 proyectos relacionados a la seguridad de la información en 6 paises, y ha dictado cursos de Penetration Testing, Seguridad en Aplicaciones Web, Seguridad Wireless y Testing de Mobile Apps. También ha dado charlas y workshops en conferencias de seguridad como ekoparty, TROOPERS, PHDays, Segurinfo, OWASP Appsec / Latam Tours, Andsec, DragonJARCon y PampaSeg. En su tiempo libre se dedica a la música y es instructor de Snowboard.