Pruebas realizadas por HP Fortify, el abrazo armado en seguridad de HP, indican que el 90% de las llamadas App móviles tienen como mínimo un agujero o vulnerabilidad de seguridad.
Fortify On Demand for Mobile es la solución que HP ha empleado para analizar el grado de seguridad de 2.107 aplicaciones de 601 compañías incluidas en la lista de Forbes Global 2000. Y aunque solo han rastreado apps con el sistema operativo de Apple iOS, HP asegura que tiene buenas razones para creer que estos mismos problemas existen también en Android.
Estos análisis han mostrado que el 86% de las aplicaciones que acceden a fuentes de datos privados, sensibles o corporativos carecen de las suficientes medidas de seguridad para proteger el acceso a dichos datos. De hecho, el 86% de estas apps no tiene una protección binaria contundente, pues muchos simplemente instalan casillas de verificación en tiempo de compilación, que protegen contra ciertos ataques como los desbordamientos de búfer, la divulgación ruta y detección de fugas.
Igualmente, el 75% de las aplicaciones no codifican los datos antes de almacenarlos en el dispositivo móvil; y estos datos pueden ser contraseñas, documentos…; y el 18% de las apps transmiten datos sobre redes sin utilizar encriptación SSL, aunque otro 18% que utiliza las SSL no lo hace correctamente. Por tanto, según HP los datos privados que se transmiten quedan expuestos a cualquier atacante en la misma red abierta WiFi que podemos encontrar en una cafetería, por ejemplo.
Desde HP Fortify sugieren que los desarrolladores de apps móviles deben seguir las mejores prácticas si no quieren exponer a sus usuarios y a la compañía a determinados ataques. Deben analizar sus aplicaciones utilizando una herramienta como Mobile Fortify on Demand; aplicar pruebas de penetración; y adoptar uno de los muchos métodos de codificación del ciclo de vida de desarrollo.