¿Alguna vez te has preguntado cómo los hackers pueden comprometer tu aplicación y tus datos? En esta charla verás cómo infiltrar tu propia aplicación con diferentes técnicas como la descompilación, el espionaje, etc. Al final de la charla, te irás un poco asustado pero más preparado con algunas prácticas excelentes para infiltrar tu propia aplicación y el conocimiento para combatirlos.
Infiltra tu propia aplicación React Native
FAQ
El iPhone de Jeff Bezos fue hackeado debido a una vulnerabilidad en WhatsApp, no en iOS, permitiendo que actores malintencionados infiltraran su dispositivo.
Las características de una aplicación como las funcionalidades de restablecimiento de contraseña pueden ser explotadas para realizar acciones maliciosas, como en el caso de 7-eleven donde se ordenaron productos en línea utilizando cuentas de usuario comprometidas.
Es crucial verificar la autenticidad de las aplicaciones, especialmente aquellas que solicitan permisos no necesarios o que imitan marcas populares, para evitar la instalación de software malintencionado.
El 'falso Xcode' es una versión modificada del entorno de desarrollo de Apple que puede contener código malicioso destinado a comprometer las herramientas y dependencias utilizadas por los desarrolladores.
British Airways fue multada con $20 millones debido a un ataque que utilizó un keylogger insertado en Modernizr, el cual capturó información de tarjetas de crédito introducida en la página de pago.
OWASP es un marco de código abierto que identifica las principales vulnerabilidades de seguridad en aplicaciones móviles y ofrece guías y proyectos para mejorar la seguridad de las mismas.
Es importante conocer todas las dependencias del proyecto, revisar constantemente las actualizaciones y cambios en el código, y utilizar herramientas que escaneen y verifiquen las vulnerabilidades de seguridad en ellas.
Los desarrolladores pueden proteger sus aplicaciones utilizando técnicas como la ofuscación de código, herramientas de seguridad para pruebas de penetración, y asegurando que todas las claves y datos sensibles estén protegidos y no expuestos en el código.
Video Summary and Transcription
Cada error y función puede ser una posible falla o punto de entrada para actores malintencionados. Los proyectos de React Native tienen muchas dependencias que pueden ser explotadas. Es importante comprender el código nativo de tu aplicación y seguir las pautas de seguridad. Analizar y modificar el código puede alterar el comportamiento de una aplicación. Empaquetar y modificar el código compilado es relativamente fácil. Las vulnerabilidades de actualización de la aplicación se pueden demostrar redirigiendo URL. Las revisiones de código y las herramientas automatizadas son importantes para la responsabilidad. Hay recursos disponibles para aprender sobre precauciones básicas de seguridad para React Native.
1. Risks of Bugs, Flaws, and Fake Apps
Esta es una noticia que no quieres ver. Como propietario de un producto o como negocio, no quieres. Como desarrollador también, no quieres ver este titular apareciendo en el New York Times. Cada error y característica también pueden ser una falla potencial o un punto de entrada potencial para que un actor malintencionado aproveche tu aplicación o negocio. Las aplicaciones falsas utilizan tu marca o icono para crear aplicaciones falsas e intentar obtener privilegios. Hay miles de aplicaciones falsas en la tienda de aplicaciones. Algunas tiendas de aplicaciones son falsas y contienen código malicioso. Los atacantes apuntan a tus herramientas y dependencias.
Esta es una noticia que no quieres ver. Como propietario de un producto o como negocio, no quieres. Como desarrollador también, no quieres ver este titular apareciendo en el New York Times. Este realmente apareció en 2002, 2020, lo siento, porque el iPhone de Jeff Bezos fue hackeado debido a una vulnerabilidad en WhatsApp, no en iOS, como se mencionó varias veces, por supuesto, hay algunas vulnerabilidades para iOS en sí mismo. Pero esto sucedió porque WhatsApp cometió un error en algún lugar, por lo que fueron, sí, y Jeff Bezos fue infiltrado de esa manera y se escaló en iOS varias veces. Entonces, cada vez que creas una característica o creas código, por supuesto, hay una posibilidad de un error. Y cada error y característica también pueden ser una falla potencial o un punto de entrada potencial para que un actor malintencionado lo use y pueda aprovechar tu aplicación, aprovechar tu negocio. Entonces, en la investigación, se encontró que aproximadamente el 75% de las aplicaciones tienen errores o características que pueden ser utilizadas para infiltrar tu aplicación o aprovechar tu negocio. Por ejemplo, el caso de 7-eleven fue una característica interesante, que utilizaron para restablecer tu contraseña, que, por supuesto, es una funcionalidad obvia, pero pensaron, ¿qué sucede si cambias tu correo electrónico? Entonces, si cambias tu correo electrónico todo el tiempo, tal vez puedas ingresar otro correo electrónico y restablecer tu contraseña de esa manera. Suena genial, pero por supuesto, si alguien nuevo y varias personas nuevas, restablecen contraseñas de otras cuentas de usuario y luego simplemente ordenan todo lo que pueden en línea. Esa característica se utilizó de manera incorrecta varias veces y, como se menciona aquí, también les costó dinero a ellos. Otra cosa que se ve mucho en línea son las aplicaciones falsas. Entonces, utilizan tu marca o tienen tu icono, si también es muy popular, para crear aplicaciones falsas, ponerlas en la tienda de aplicaciones, por ejemplo, iOS o Android, no importa realmente, y tratar de atraerte para que descargues esa aplicación y tratar de obtener privilegios. Por ejemplo, pueden solicitar permisos de contacto para la lista de contactos en la aplicación, aunque tu aplicación normal no lo hace, la aplicación falsa sí lo hace y simplemente carga esa lista de contactos tuya en su propio servidor y trata de hacerlo de esa manera. Otro truco es, por supuesto, lo que hacen es tratar de poner anuncios en tu aplicación. Entonces, hacen una aplicación copia, solo 101, e ingresan código de anuncios en ella. Entonces, si abres la aplicación, hay anuncios que no agregaste, por lo que están obteniendo ganancias de tu aplicación también. Pensarías que Apple y Google harían un gran trabajo protegiendo tu aplicación, por supuesto, porque tienen este proceso de revisión realmente bueno, que a todos les encanta y odian. Pero aún así, hay miles de aplicaciones falsas en la tienda de aplicaciones en este momento. Por supuesto, algunas con grandes marcas, mientras que otras más pequeñas, que hacen esto todo el día. Y también, hay algunas tiendas de aplicaciones que no son realmente tiendas de aplicaciones, sino que son falsas tiendas de aplicaciones con aplicaciones correctas, por ejemplo, porque algunas aplicaciones son costosas y las personas intentan usarlas de forma gratuita. Entonces, irán a una tienda de aplicaciones que no es, por supuesto, la de Google o la de Apple, y luego descargarán la aplicación. Y por lo general, también hay código malicioso allí, porque también necesitan obtener ganancias de ti, por supuesto. En el ejemplo de Fortnite, por ejemplo, Fortnite sigue siendo un juego popular, pero ellos anunciaron que estaban haciendo una versión móvil de él. Hicieron una aplicación de Android que descargaba el juego real, digamos así, por lo que hicieron una aplicación de lanzamiento. Entonces, todos hicieron una aplicación de lanzamiento falsa, que descargaba alguna otra aplicación, que por supuesto escalaba los permisos y, por supuesto, intentaba inyectar todo en tu dispositivo móvil. Otro ejemplo es que no solo atacan tu aplicación, sino también tus herramientas que usas todos los días. Por supuesto, el falso Xcode, como lo llamamos, es un ejemplo de eso. Y no solo las herramientas, sino también tus dependencias. Entonces, todas las dependencias que tienes en tu aplicación son objetivo para llegar a tu dispositivo, ya sea en tu MacBook o laptop.
2. React Native Seguridad y Mejores Prácticas
Y tratan de buscar credenciales o colocar un minero de criptomonedas en tu dispositivo. Los proyectos de software tienen muchas dependencias, que proporcionan puntos de entrada para actores malintencionados. Los hacks de British Airways y MPM son ejemplos destacados. Para proteger tu aplicación, comprende su código nativo, contrata expertos si es necesario y sigue las pautas de seguridad. Mira las charlas de Julia de Cossack Labs para obtener información sobre la seguridad de React Native. OWASP proporciona las 10 principales vulnerabilidades de seguridad para dispositivos móviles. Utiliza el proyecto de requisitos y verificación móvil para evaluar la seguridad de tu aplicación.
Y tratan de buscar, por ejemplo, XSKEYS para AWS u otras credenciales que desean tener, o simplemente colocan un minero de criptomonedas en tu dispositivo sin que lo sepas y obtienen beneficios de ti también. Porque en la actualidad, los proyectos de software tienen en promedio alrededor de 203 dependencias, creo que React, por supuesto, tiene algunas más, pero ese es el promedio en este momento, hay muchas formas para que ellos, los actores malintencionados, también accedan a las dependencias y luego intenten acceder a la aplicación.
Especialmente, por supuesto, también intentan hacerlo en tu máquina, para explotar eso, pero también quieren explotar la aplicación que estás creando, por lo que eventualmente llegarán al dispositivo, comprarán tu aplicación y luego intentarán obtener los datos que desean. Creo que el caso de British Airways es uno de los más destacados aquí. Utilizaron Modernizr, que es, por supuesto, un marco web para atacar, pero también lo usaron en dispositivos móviles, y lo que hicieron fue crear un keylogger dentro de Modernizr y luego lo enviaron a BA y cada página en BA recibió ese script, incluida la página de pago, por lo que todo lo que escribiste en la página de pago también se les envió a ellos. Por supuesto, todas las tarjetas de crédito, etc., se les enviaron y lo utilizaron, por supuesto, para realizar todas las compras, etc. BA fue multada con $20 millones el año pasado solo por este hack, por lo que fue un truco realmente costoso que hicieron en ellos. Y también desde el año pasado, supongo, fue el de MPM, el parcial de la interfaz de usuario, fue que agregaron un CryptoMiner para tu máquina. Entonces, si ejecutas eso o agregas la versión más reciente de esa dependencia, entonces, por supuesto, también obtienes ese CryptoMiner. Entonces, ¿qué podemos hacer al respecto?
En primer lugar, y creo que Katie hizo un gran trabajo al decir eso también, conoce tu cargador de servicios y también conoce el código nativo de tu código react native. Por supuesto, la mayoría de las personas conocerán el código JS o el código TypeScript también, pero trata de comprender las otras partes que tu aplicación React Native está utilizando también. Si no puedes hacerlo tú mismo, intenta contratar a alguien o contratar a alguien para ver qué hace el código y qué no hace para que puedas evaluar qué factores de ataque hay en tu código. Documentación, por supuesto, nuevamente agradeciendo a Katie por la React Native documentación de seguridad que hizo para la mayoría del grupo, lo cual es genial. React Native en sí mismo en el sitio web tiene algunas pautas de seguridad, así que síguelas también. Google y Apple, para el lado nativo, también tienen excelentes pautas de seguridad, así que sabrás qué hacer y qué no hacer con tus datos y detalles de seguridad, etc. Un gran reconocimiento a Julia, porque debería haber un video de YouTube aquí, pero supongo que el internet no está funcionando muy bien en este momento. Julia es de Cossack Labs, que es una empresa de seguridad de Ucrania. Ella ya tiene algunas charlas sobre React Native y seguridad desde hace algunos años. Por favor, míralas porque son realmente muy buenas para conocer cómo funciona React Native con el lado nativo también para el puente y todas las cosas que necesitas tener en cuenta. Tenemos OWASP, que es un marco de código abierto. También lo tenemos para la web. Tenemos las 10 principales vulnerabilidades de OWASP para la web. También lo tenemos para dispositivos móviles, que se muestra en la infografía aquí también. Tenemos las 10 vulnerabilidades de seguridad más utilizadas que se utilizan en la práctica. Échales un vistazo. Verifica si tu aplicación se encuentra en ese espacio y trata de mejorar en eso. También tienen otro proyecto, que es el proyecto de requisitos y verificación móvil, que principalmente, por supuesto, hay mucha documentación, pero también tiene una hoja de Excel con todas las cosas que puedes verificar para ver si tu aplicación es segura. No solo el código, sino también el proceso, etc.
Check out more articles and videos
We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career
Workshops on related topic
Las pruebas dependen de muchas condiciones y se consideran lentas e inestables. Por otro lado, las pruebas de extremo a extremo pueden dar la mayor confianza de que su aplicación está funcionando. Y si se hace correctamente, puede convertirse en una herramienta increíble para aumentar la velocidad del desarrollador.
Detox es un marco de pruebas de extremo a extremo en caja gris para aplicaciones móviles. Desarrollado por Wix para resolver el problema de la lentitud e inestabilidad y utilizado por React Native en sí como su herramienta de pruebas E2E.
Únete a mí en esta masterclass para aprender cómo hacer que tus pruebas de extremo a extremo móviles con Detox sean excelentes.
Prerrequisitos- iOS/Android: MacOS Catalina o más reciente- Solo Android: Linux- Instalar antes de la masterclass
Contenido:- comenzando e instalando AG Grid- configurando ordenamiento, filtrado, paginación- cargando datos en la cuadrícula- la API de la cuadrícula- agregar tus propios componentes a la cuadrícula para representación y edición- capacidades de la edición de la comunidad gratuita de AG Grid
En esta masterclass de tres horas abordaremos estas preguntas discutiendo cómo integrar Detox en tu flujo de trabajo de desarrollo. Saldrás con las habilidades e información que necesitas para hacer de las pruebas Detox una parte natural y productiva del desarrollo diario.
Tabla de contenidos:
- Decidir qué probar con Detox vs React Native Testing Library vs pruebas manuales- Configuración de una capa de API falsa para pruebas- Cómo hacer que Detox funcione en CI en GitHub Actions de forma gratuita- Decidir cuánto de tu aplicación probar con Detox: una escala móvil- Integración de Detox en tu flujo de trabajo de desarrollo local
Prerrequisitos
- Familiaridad con la construcción de aplicaciones con React Native- Experiencia básica con Detox- Configuración de la máquina: un entorno de desarrollo CLI de React Native en funcionamiento que incluye Xcode o Android Studio
Appflow es la plataforma de DevOps móvil en la nube creada por Ionic. Utilizar un servicio como Appflow para construir aplicaciones React Native no solo proporciona acceso a potentes recursos informáticos, sino que también simplifica el proceso de despliegue al proporcionar un entorno centralizado para gestionar y distribuir tu aplicación en múltiples plataformas. Esto puede ahorrar tiempo y recursos, permitir la colaboración, así como mejorar la confiabilidad y escalabilidad general de una aplicación.
En este masterclass, desplegarás una aplicación React Native para su entrega en dispositivos de prueba Android e iOS utilizando Appflow. También aprenderás los pasos para publicar en Google Play y Apple App Stores. No se requiere experiencia previa en el despliegue de aplicaciones nativas, y obtendrás una comprensión más profunda del proceso de despliegue móvil y las mejores prácticas para utilizar una plataforma de DevOps móvil en la nube para enviar rápidamente a gran escala.
Comments