Alejandro Ramos - @aramosf

www.securitybydefault.com

Oct/2013

Datos en la propia aplicación móvil. Ficheros de configuración, pj

plist

Ficheros de bases de datos, pjSQLite

Ficheros de diccionarios predictivos

Capturas de pantalla

Copiar y pegar

Ficheros cacheados/temporales

Ficheros de log/excepciones

Esquemas de URL

Comunicación con servidores externos DLC

Peticiones web

Peticiones DNS

Otros protocolos

Copia de la información en otros sistemas iCloud

Backup en el PC

Emuladores

SDK Android

IOS SDK (Sim ulador)

Móviles con máximos privilegios

Jailbreak iPhone

root en Android

Sistemas intermedios:

Capturar y modificar peticiones HTTP

Capturar peticiones DNS

Capturar otro tráfico, por ejemplo XMPP, RTSP, etc.

Cinesa, aplicación para consultar cartelera en la red de cines.

Incluye tarjeta de fidelización virtual.

Permite consultar los puntos acumulados.

Requiere autenticarse con usuario y contraseña.

Escenario de riesgo: en una red wireless, el tráfico puede ser capturado.

Runkeeper, aplicación para registrar actividades deportivas.

Permite interactuar y publicar en Twitter y Facebook los resultados de las actividades.

Manda a la consola de registros información de la configuración, incluido tokens de autenticación en otros servicios.

El registro puede ser accedido por otras aplicaciones.

Dark Nebula es un juego de iPhone

Una navecita que debe superar niveles en el menor tiempo posible

Los niveles superados y la puntuación se almacenan en un archivo sin protección.

Riesgo bajo, ya que tan solo se modifican puntos y los niveles en este caso no son de pago

Dropbox, conocida aplicación de almacenamiento en la nube

En su aplicación móvil permite proteger los datos con PIN.

El PIN se guarda en texto plano en un fichero de configuración.

El fichero puede ser accedido desde un PC (que haya sido emparejado previamente)

Las sesiones se pueden utilizar para autenticarse desde otros dispositivos.

Ataque idéntico al robo de una cookie en un ordenador.

Los ficheros binarycookiesalmacenan el token en IOS.

Se pueden obtener sus valores.

Por lo que desde un PC en el que se emparejó el móvil, se puede acceder a Facebook sin usuario y contraseña.

MobiSafe, aplicación para almacenar fotos, videos y documentos de forma segura en el móvil.

Los cifra, tanto en el móvil como en las copias de iTunes.

Solicita un PIN de acceso de 4 números.

Protecciones simples para evitar ataques de fuerza bruta

PIN falso para acceder a un contenido falso

Alejandro Ramos - @aramosf

www.securitybydefault.com

Oct/2013