[06/09/2022] Los navegadores integrados en las aplicaciones pueden plantear importantes riesgos de seguridad para las empresas, y su tendencia a rastrear datos es una de las principales preocupaciones. Esto se puso de manifiesto en una investigación reciente que examinó cómo los navegadores dentro de aplicaciones como Facebook, Instagram y TikTok pueden ser un riesgo para la privacidad de los datos de los usuarios de iOS. El investigador Felix Krause detalló cómo los populares navegadores in-app inyectan código JavaScript en sitios web de terceros, otorgando a las aplicaciones anfitrionas la capacidad de rastrear ciertas interacciones, incluyendo entradas de formularios como contraseñas y direcciones junto con clics en imágenes o enlaces.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Meta y TikTok se apresuraron a declarar que sus actividades son benignas, pero su comportamiento histórico, junto con la posibilidad de que otras aplicaciones o actores maliciosos hagan un mal uso/exploten esta capacidad, es preocupante, especialmente cuando la navegación dentro de la aplicación se realiza en dispositivos de trabajo que se conectan a redes corporativas y almacenan información empresarial. Por lo tanto, los equipos de seguridad deben ser conscientes de las amenazas que los navegadores in-app pueden suponer para una organización y tomar medidas para ayudar a abordar los riesgos
¿Qué son los navegadores in-app?
Los navegadores in-app son utilizados por las aplicaciones cuando un usuario hace clic en un enlace a una página web normal desde dentro de la aplicación, explica Peter Lowe, investigador principal de seguridad de DNSFilter. "En lugar de abrir la página en el navegador por defecto del dispositivo móvil, como Safari o Chrome, se abre en una versión integrada que se ejecuta dentro de la propia aplicación", añade. Como el navegador no se ejecuta externamente, la aplicación tiene un mayor control sobre el mismo.
¿Qué riesgos de seguridad plantean los navegadores integrados en las aplicaciones?
Es este mayor control el que puede introducir los tipos de inyección de código y problemas de rastreo de datos que Krause destacó, anota Lowe. "Lo que se demostró es que algunas aplicaciones muy populares -incluyendo TikTok e Instagram- parecen estar utilizando esto para rastrear a los usuarios, hasta el punto de que las pulsaciones individuales de las teclas son monitoreadas y el código de seguimiento se añade a cada página. Esto elude las políticas de las tiendas de aplicaciones puestas en marcha para evitar este tipo de cosas, pero debido a la forma en que las aplicaciones y las políticas están diseñadas, actualmente existe como una laguna".
En lo que respecta a los riesgos de seguridad asociados a los navegadores in-app, uno de los aspectos más cruciales que debe considerar una empresa es el tratamiento de los datos sensibles y la privacidad, explica Jens Monrad, director, responsable de Mandiant Intelligence EMEA. "Utilizamos nuestros teléfonos para todo, incluso para los negocios. Esto significa que hay muchas oportunidades para que la información crítica se vea comprometida o se filtre, intencionadamente o no".
Otro riesgo que las empresas deben tener en cuenta es que los usuarios de las aplicaciones casi nunca tienen tiempo o paciencia para revisar toda la guía de derechos y consentimientos del usuario. Normalmente pueden tener más de 30 páginas, señala Monrad. "Aunque gran parte de la recogida de datos que se produce es benigna, los usuarios pueden acabar dando su consentimiento a cosas que desconocen, como el seguimiento de sus credenciales o su ubicación".
Una vez recopilada, la información de este tipo es oro en manos de los ciberdelincuentes, ya que les permite clonar una sesión web con todos los parámetros de la web, como la versión del navegador (versión del agente), los idiomas disponibles localmente, las cookies y otra información específica del usuario, añade Dmitry Bestuzhev, investigador de amenazas más destacado de BlackBerry. "De este modo, los ciberdelincuentes pueden eludir los sistemas antifraude de las organizaciones financieras para identificar a sus clientes recurrentes. Es el efecto de un lobo con piel de cordero".
Además de la recolección de credenciales, los navegadores in-app también pueden ser explotados para la minería de criptomonedas, sostiene Bestuzhev. "Es especialmente doloroso cuando el navegador está cerrado, pero se ejecuta en segundo plano. La mayoría de los navegadores modernos incluyen esa funcionalidad, por lo que la minería de criptomonedas a través del navegador podría estar ejecutándose incluso cuando el navegador está aparentemente cerrado".
Cómo mitigar los riesgos de seguridad de los navegadores in-app
Mitigar las amenazas que plantean los navegadores in-app no siempre es sencillo, pero las organizaciones pueden tomar medidas para reducir los riesgos. "Es posible configurar una aplicación para que inicie correctamente un navegador externo al hacer clic en un enlace en lugar de ver la página dentro de la aplicación, e incluso si la propia aplicación no se ha configurado de esta manera, un usuario puede hacer clic en "abrir en Safari" (o en el navegador que esté utilizando) al ver la página, para iniciarla en un navegador externo", indica Lowe. "Recomendamos configurar las aplicaciones para que se abran en un navegador externo siempre que sea posible, e informar a los usuarios de que esto ocurre para que sean más conscientes de sus actividades mientras navegan por una página desde dentro de una aplicación".
Las organizaciones más reticentes al riesgo pueden optar por impedir el acceso a determinadas aplicaciones en los dispositivos corporativos utilizando soluciones de gestión de dispositivos móviles (MDM), afirma Monrad. "Esto permite a las empresas aplicar algunas restricciones en el dispositivo sin dejar de garantizar su integridad. Las organizaciones pueden crear eficazmente un contenedor seguro dentro del teléfono en el que se pueden realizar operaciones empresariales y controlar más estrechamente el acceso a determinadas aplicaciones y actualizaciones de software".
Para Bestuzhev, lo primero que hay que hacer es definir políticas que permitan o denieguen el uso de navegadores aprobados y no aprobados. "Se puede archivar mediante listas negras/blancas, tecnologías de denegación por defecto y políticas de AD [Active Directory] desplegadas en el punto final, añade. "Si la red está construida sobre tecnologías de Microsoft, entonces hay una política granular para desplegar desde AD a los puntos finales para Edge. Edge es un navegador moderno basado en Chromium, que puede configurarse de forma que se denieguen los plugins in-app. También es importante contar con un buen producto de protección de endpoints, por lo que, si hay un intento de bypass, su producto de endpoints puede bloquearlo basándose en el análisis del código del programa in-app".
Las versiones más recientes de los sistemas operativos móviles de iOS y Android ofrecen controles de seguridad granulares que permiten al usuario final tomar decisiones sobre el acceso a la función del portapapeles en las aplicaciones, el intercambio preciso de datos de localización, etc., anota Monrad. "Además, los usuarios también pueden recibir avisos sobre las aplicaciones que intentan hacer uso de las cámaras o el audio. Aunque puede que no mitigue el riesgo por completo, creo que es un paso en la dirección correcta que las empresas también pueden considerar como parte de sus directrices para los empleados y los dispositivos móviles".
En este sentido, la educación y la concienciación de los usuarios sobre los riesgos de los navegadores in-app también son importantes, afirma Lowe. "Afortunadamente, la concienciación general ha aumentado en este punto, por lo que podemos esperar algunos cambios en los mecanismos detrás de los navegadores in-app en el futuro. Definitivamente se está trabajando para evitar que los desarrolladores de aplicaciones puedan abusar de esta funcionalidad y podemos esperar algunas soluciones concretas en algún momento".
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú