Comprender la seguridad de las aplicaciones móviles en África
Investigadores de CyLab-Africa y Upanzi Network se asociaron recientemente con el proveedor de seguridad móvil Approov para explorar la seguridad de aplicaciones de servicios financieros comunes utilizadas en África. Después de encuestar 224 aplicaciones financieras populares, los investigadores descubrieron que el 95% de estas aplicaciones de Android exponían secretos que pueden usarse para revelar datos personales y financieros. En todas estas aplicaciones, aproximadamente 272 millones de usuarios tienen el potencial de ser víctimas de fallas de seguridad.
El equipo de África de la Universidad Carnegie Mellon incluyó ex alumnos y un estudiante actual que trabajan como investigadores con CyLab-Africa en Ruanda: Theoneste Byagutangaza (MSIT ’23), Trevor Henry Chiboora (MSIT ’23), Joel Jefferson Musiime (MSIT ’24) y Lenah Chacha (MSIT ’17).
El proyecto fue parte de una experiencia de colaboración de verano en la que los investigadores de CyLab-Africa recibieron orientación y tutoría de Approov. Los codirectores de CyLab-Africa, Assane Gueye y Giulia Fanti, sirvieron como asesores para este proyecto.
«Participar en este proyecto fue una experiencia gratificante pero desafiante. Implicó una investigación en profundidad sobre las consecuencias de las filtraciones de claves secretas, que inicialmente resultó ser una tarea formidable. Sin embargo, colaborar con un equipo diverso enriqueció mis habilidades de resolución de problemas, perfeccionó durante mi etapa como estudiante en CMU, e hice del proyecto una valiosa oportunidad de aprendizaje», dice Byagutangaza.
El equipo seleccionó e investigó aplicaciones de Android de países del norte, centro, este, oeste y sur de África y clasificó las amenazas a la seguridad en gravedad «alta», «mediana» y «baja». La mayoría de las amenazas se clasificaron en las categorías alta (18%) y media (72%).
Se utilizó una clasificación de alta gravedad para las vulnerabilidades que podrían provocar acceso no autorizado, violaciones de datos y comprometer la privacidad del usuario. Se utilizó una gravedad media para los secretos que, si se exponen, podrían comprometer potencialmente la confidencialidad de los datos del usuario y la funcionalidad de la aplicación.
«Al ser nuevo en el campo de la seguridad móvil, este proyecto fue una buena experiencia de aprendizaje, ya que me permitió comprender el diseño y la implementación de aplicaciones móviles desde una perspectiva de seguridad», afirma Musiime. «Colaborar con el equipo experimentado de Approov en el campo de la seguridad móvil ayudó enormemente en mi proceso de aprendizaje, ya que siempre estuvieron listos y dispuestos a ofrecer orientación y apoyo durante toda la investigación».
El trabajo culminó en un informe que establece comparaciones entre otras regiones y África, señalando tendencias, puntos en común y disparidades relacionadas con la exposición de claves secretas en el paquete binario de una aplicación móvil. Por ejemplo, descubrieron que las aplicaciones implementadas en África occidental eran las más expuestas en términos de exposición secreta de alta gravedad (20%) y África meridional las menos (sólo el 6%).
«El informe del proyecto tiene un valor significativo para una amplia audiencia, incluidos propietarios de productos, desarrolladores y usuarios cotidianos. No solo arroja luz sobre las preocupaciones de seguridad relacionadas con los secretos y las claves API en los paquetes de Android, sino que también proporciona recomendaciones valiosas para mitigar estos problemas». dice Chiboora.
