Algunas aplicaciones de Bancos para IOS no son seguras

proteccion de datos

man-in-the-middle

A menudos nos conectamos desde nuestro IPad o nuestro IPhone a cientos de aplicaciones para realizar algún trabajo, para jugar, divertirnos, escuchar música, etc. Muchas aplicaciones acceden a datos de agenda, datos particulares que tenemos almacenados en el teléfono o IPad o fotografías, etc. Pero ninguna de ella supone un problema para nuestro bolsillo.

Pero hay un conjunto de aplicaciones con las que tenemos que extremar la precaución y esas son las que nos solicitan datos bancarios, o datos de login en nuestros sistemas bancarios, como por ejemplo las app de los bancos: bbva, cajamar, etc…

Leyendo un post que llegaba a mi correo y que me pareció al principio una fantasmada, me di cuenta que ya había visto eso en algún otro lado.

El autor es Oscar y en él comentaba la falta de medidas de seguridad extra de la aplicación para IOS de BBVA. En imágenes que reproducimos en éste artículo se puede ver que con un simple proxy y, creo que burpsuite, se pueden obtener los datos bancarios de cualquiera que pueda acceder a su aplicación en esa misma red.

Partiendo de la premisa que intentar obtener información confidencial de un servicio codificado o encriptado aunque sólo sea para comprobar su seguridad es un delito en si, Oscar consigue hacer una prueba con sus propios datos bancarios para demostrar que él puede ser un perjudicado y afectado al mismo tiempo de esta apertura de puertas, ya que no hace falta ser un hacker ni un experto programador para obtener éstos datos.

El certificado https no es un modelo de seguridad impermeable.

Y es que Oscar consiguió saltarse cualquier barrera sin ningún problema, sobre todo porque la aplicación no hace la necesaria comprobación que el certificado SSL sea el correcto y oficial, y obtener datos como los siguientes:

bbva1

Vemos como todos los datos que introducimos en la aplicación son enviados como texto plano, por lo que se puede obtener cualquier información de cualquier tarjeta, libreta o cuenta online.

bbva2

bbva3

 

Expongo este post de Oscar que lo puedes leer en su blog  skydev.es y es porque me recordó a un día estando con un amigo y éste consiguió hacer lo mismo con otro sistema, en este caso era de Cajamar. Con gran estupefacto vimos como mostraba todos y cada uno de sus datos personales y bancarios, y sin saber mucho de informática.

Mi recomendación en este sentido es que actualmente las aplicaciones móviles, especialmente para bancos, no están preparadas con las debidas medidas de seguridad que deberían tener para garantizar la confidencialidad del usuario de la cuenta.

Comparte este post con tus amigos y conocidos para que en el futuro tengan cuidado qué utilizan para acceder a sus cuentas.

Editado 24-06-2016:

El blog skydev.es ya no existe, desconozco si se va a reactivar o no y la razón por la que se ha eliminado, y no quiero pensar mal… Espero no tener que eliminar yo este artículo.

1 comentario

Trackbacks y pingbacks

  1. […] quizá no sea la única. Recientemente comprobábamos en el Blog de Antonio López la falta de seguridad de algunos bancos como el BBVA o como Cajamar en sus aplicaciones para IOS […]

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*