Asociación de Internautas

El análisis de investigación realizado sobre las aplicaciones bancarias se realizaron teniendo en cuenta los siguientes puntos durante la auditoria:

• Modificación de la aplicación y comprobar su posible instalación y funcionamiento.

• Comportamiento anti malware, captura pantalla durante su funcionamiento.

• Comportamiento anti malware, captura teclado y claves.

• APP testean si el dispositivo son root.

Las APP Android auditadas pertenecen a las entidades financieras y para sistema Android:

• BBVA Banca y BBVA Wallet

• Santander

• La Caixa

• Bankia

• ING

Alteración de la APP, primera prueba del análisis: Se intenta modificar/alterar de forma ?básica? las APPs, añadir una nueva firma y tener la aplicación dos veces instalada con el código original, para comprobar si un malware puede alterar el control natural de la aplicación financiera. Los resultados son los siguientes:

BBVA Banca y BBVA Wallet, permite la modificación y alteración de la firma, se puede instalar, pero sin embargo la aplicación no es funcional y genera error. Valoración; Seguridad buena.

Santander, permite la modificación y alteración de la firma, permite su instalación y la aplicación es funcional. Valoración; Seguridad mala.

La Caixa, no permite realizar la modificación, comprueba su edición. Valoración; Seguridad muy buena.

Bankia, permite la modificación y alteración de la firma, permite su instalación y la aplicación es funcional. Valoración; Seguridad mala.

ING, permite la modificación y alteración de la firma, permite su instalación y la aplicación es funcional. Valoración; Seguridad mala.

Capturar pantalla durante el logueo de claves bancarias, segunda prueba del análisis: La segunda prueba en simple, se testean que APPs permiten realizar una captura de la pantalla o grabar la pantalla durante la actividad de un usuario, durante el proceso de logueo y durante su interactividad de la banca online, el propósito es comprobar si un malware o un troyano pueden capturar nuestras credenciales o durante nuestra actividad bancaria. Los resultados son los siguientes:

BBVA Banca y BBVA Wallet, permitió en algunos casos la captura de la pantalla, ocurrió en un 50% de las veces en la APP de Banca durante el logueo y actividad, sin embargo en BBVA Wallet no permitió ninguna vez. Valoración; Seguridad media en Banca, Seguridad Buena en Wallet.

Santander, permite la captura de pantalla y actividad. Valoración; Seguridad mala.

La Caixa, permite realizar capturas del logueo. Valoración; Seguridad media.

Bankia, permite realizar capturas del logueo, pero no durante la actividad. Valoración; Seguridad media.

ING, permite la captura de pantalla y actividad. Valoración; Seguridad mala.

Capturar toda actividad del teclado durante el logueo de claves bancarias y actividad, tercera prueba del análisis: El siguiente análisis en más fácil para el auditor pero más complicado para los programadores de las APPs bancarias ya que sería programar un sistema que detecte un keylogger (captura teclado) en el dispositivo o comprobar los procesos activos del dispositivo y ver rutinas maliciosas, cosa muy compleja, el propósito es comprobar si un malware o un troyano puede capturar nuestras credenciales o nuestra actividad. Los resultados es son los siguientes:

BBVA Banca y BBVA Wallet, permite capturar toda la actividad, Valoración; Seguridad mala.

Santander, permite capturar toda la actividad, Valoración; Seguridad mala.

La Caixa, permite capturar toda la actividad, Valoración; Seguridad mala.

Bankia, permite capturar toda la actividad, Valoración; Seguridad mala.

ING, permite capturar toda la actividad, Valoración; Seguridad mala.

Comprobar si la APP testea si el dispositivo esta rooteado (root ? súper usuario), cuarta prueba del análisis: La prueba consiste durante la instalación del aplicativo o interactividad de las funciones bancarias nos alerta o bloquea alguna acción bancaria. Algunos aplicativos con gestión financiera no permiten la instalación en dispositivos rooteado al ser sensibles de ser atacados por malware o programas espías, aunque en realidad en un dispositivo rooteado la funcionalidad de un cortafuegos es posible al ser super usuario y otras funciones de seguridad, aunque seria para usuarios con mas experiencia. Un ejemplo de testeo de rooteo es la APP de Apuestas y Loterías del Estado, donde no permite la instalación de la aplicación en dispositivos roteados por seguridad. Los resultados son los siguientes:

BBVA Banca y BBVA Wallet, BBVA Banca permite instalación y alerta del rooteo del dispositivo, BBVA Wallet permite su instalación, alertando que la función NFC de pago no está permitida en en pagos, Valoración; Banca Seguridad media. Wallet Seguridad Alta.

Santander, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.

La Caixa, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.

Bankia, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.

ING, permite instalación, no alerta y permite todas las funciones, Valoración; Seguridad media.

Resumen final de las APPs auditadas:

BBVA Wallet, Seguridad: -1 / + 3 (aprueba)

BBVA Banca, Seguridad: - 2 / + 2 (media)

La Caixa, Seguridad: -3 / + 1 (suspende)

Bankia, Seguridad: - 3 / + 1 (suspende)

Santander, Seguridad: -4 (suspende)

ING, Seguridad: - 4 (suspende)

Como podemos comprobar en un análisis simple, aún queda mucho trabajo por realizar en medidas de prevención y seguridad en las aplicaciones bancarias para terminales móviles. Afortunadamente algunas entidades financieras realizan un seguimientos de los problemas de seguridad reportados por los propios clientes en la pasarela Google Play Store,.José María Luque.