Un exemple de com SI s’han de fer les coses: l’app de Subway

Fotografia de Mike Mozart a Flickr sota llicència Creative Commons
Compartir

L’aplicació mòbil de la cadena nord-americana de menjar ràpid, que permet fer la comanda d’un entrepà i pagar-lo, gaudeix d’un bon sistema de seguretat, que altres apps destinades al què aparentment són tasques més serioses, no disposen.

Ho diu Randy Westergren, un hacker d’apps mòbils, i se’n fa ressò el diari tecnològic britànic The Register.

Westergren s’ha dedicat a desballestar la versió per a Android de l’app mòbil de Subway -una cadena que, per cert, també està establerta al nostre país-, que permet fer la comanda d’entrepans, pagar-la i passar-la a recollir per un dels establiments físics de la cadena.

Aquesta és tota una sèrie de funcionalitats aparentment trivials i que actualment poden fer i fan totes les apps del mercat, però tenim que hi entren en joc dades sensibles, com ara les personals i les bancàries (pel pagament que hem de dur a terme).

Això exigeix un tipus de seguretat més seriosa, capaç de poder verificar la identitat del qui paga, i prevenir tant possibles usurpacions d’identitat com actuacions externes que portin un atacant a aconseguir les dades sensibles dels clients.

No totes les empreses que tenen una app que permet pagaments es prenen seriosament aquesta tasca, i moltes la deleguen en terceres parts, empreses desenvolupadores que, al seu torn, no fan els deures en matèria de seguretat. Subway, però, és diferent.

El mateix Randy Westergren qualifica de “security nerd” -un terme que em permeto traduir per “estudiós de la seguretat”- la persona encarregada de vetllar per la seguretat de l’app, però entenent el terme no pas com una desqualificació o una forma de burlar-se’n, ans al contrari, com tota una lloança.

L’app per a Android de Subway inclou funcionalitats que hom esperaria d’una aplicació orientada a la banca en línia com, per exemple, que comprova si el sistema operatiu sobre el qual s’està executant ha estat modificat. Això afecta a les ROMs ‘cuinades‘ per terceres parts, com ara la coneguda CyanogenMod.

la mateixa aplicació verifica la seva integritat mitjançant una signatura, per tal de garantir que no se l’ha manipulat i injectat qualsevol codi que permeti a un atacant visualitzar les dades confidencials que gestiona.

Tot això no significa que l’app de Subway sigui totalment segura i impedeixi que se l’ataqui, però si que ho dificulta enormement. Un cibercriminal que vulgui accedir a les dades que atresora, ho tindrà molt més difícil.

Imatge de portada de Mike Mozart a Flickr sota llicència Creative Commons

Un exemple de com SI s’han de fer les coses: l’app de Subway
Valoreu aquesta publicació

Guillem Alsina
Periodista freelance especialitzat en noves tecnologies, redactor d'YCOM.cat
Etiquetes: