Cómo mitigar los riesgos de seguridad de los navegadores integrados en aplicaciones
La tendencia a rastrear datos es una de las principales preocupaciones que generan a empresas y usuarios.
Los navegadores integrados en aplicaciones pueden representar riesgos de seguridad significativos para las empresas, y su tendencia a rastrear datos es una de las principales preocupaciones que generan. Así lo destaca el investigador Felix Krause, que examinó estos navegadores en plataformas como Facebook, Instagram y TikTok. Observó que inyectan código JavaScript en páginas web de terceros, dando permiso a las aplicaciones a peinar ciertas interacciones, incluidas entradas de formularios como contraseñas y direcciones y clics en imágenes y enlaces.
Meta y TikTok han asegurado ya que sus actividades son benignas, pero su comportamiento histórico, junto con la posibilidad de que otros actores hagan un mal uso o exploten estas capacidades, es preocupante, especialmente cuando la navegación se realiza en dispositivos de empresa que se conectan a redes corporativas y almacenan información comercial. Por lo tanto, los equipos de seguridad deben ser conscientes de las amenazas y tomar medidas.
¿Qué son los navegadores integrados en aplicaciones?
Las plataformas utilizan navegadores integrados cuando un usuario hace clic en un enlace a una página web desde dentro de la misma, dice Peter Lowe, investigador principal de seguridad en DSNFilter. “En lugar de abrirse una página en el navegador predeterminado del dispositivo móvil como Safari o Chrome, se abre en una versión integrada que se ejecuta dentro de la propia aplicación”.
¿Qué riesgos de seguridad plantean?
Es el control elevado de la aplicación sobre el navegador el que puede introducir los tipos de problemas de inyección de código y seguimiento de datos que destaca Krause. “Lo que muestra es que algunos servicios muy populares, incluidos TikTok e Instagram, parecen estar usando esto para rastrear a los usuarios, hasta el punto en que se monitorizan las pulsaciones de teclas individuales y se suma un código de seguimiento a cada página. Esto elude las políticas de las tiendas de aplicaciones, pero debido a su diseño, actualmente hay una gran brecha”, expresa Lowe.
Cuando se trata de los riesgos de seguridad asociados, uno de los aspectos más cruciales que una empresa debe considerar es cómo trata los datos confidenciales y la privacidad, añade Jens Monrad, director y jefe de Mandiant Intelligence para EMEA. “Usamos el teléfono para todo, también para los negocios, por lo que hay muchas oportunidades de que la información crítica pueda ser comprometida o filtrada, intencionalmente o no”.
Otro desafío que las empresas deben tener en cuenta es que los usuarios de la aplicación casi nunca tienen tiempo o la paciencia para leer toda la guía de derechos y consentimientos. Por lo general, pueden tener más de 30 páginas. “Si bien gran parte de la recopilación de datos que se produce es benigna, los usuarios pueden terminar dando su consentimiento a cosas que desconocen, como el seguimiento de sus credenciales o su ubicación”.
Una vez recopilada, la información es oro en manos de los ciberdelincuentes, ya que les permite clonar una sesión web con todos los parámetros web, como la versión del navegador, los idiomas disponibles localmente, las cookies y otra información específica del usuario, expresa Dmitry Bestuzhev, investigador de amenazas de BlackBerry. “De esa manera, los cibercriminales pueden eludir los sistemas antifraude que ejecutan las empresas financieras para identificar a sus clientes recurrentes. Es el efecto de lobo con piel de oveja”.
Además de la recopilación de credenciales, los navegadores integrados también pueden explotarse para la minería de criptomonedas. “Es especialmente doloroso cuando el navegador está cerrado pero se ejecuta en un segundo plano. La mayoría incluyen esta funcionalidad, por lo que la minería de criptodivisas podría estar ejecutándose incluso cuando el navegador está aparentemente cerrado”.
Cómo mitigar los riesgos de seguridad
Dar solución a este tipo de amenazas no siempre es sencillo, pero se pueden tomar medidas. “Es posible configurar una aplicación para que inicie correctamente un navegador externo para clics en enlaces en lugar de ver la página dentro de la plataforma”, expresa Lowe. “Recomendamos hacer esto siempre que sea imposible informar a los usuarios de ello para que sean más conscientes de sus actividades”.
Otra opción es evitar el acceso a ciertas aplicaciones en dispositivos corporativos mediante el uso de soluciones MDM. “Esto permite a las empresas imponer restricciones en el dispositivo y, al mismo tiempo, garantizar su integridad. Se puede crear un contenedor seguro dentro del teléfono donde pueden llevarse a cabo operaciones empresariales y el acceso a ciertas aplicaciones y actualizaciones puede controlarse más de cerca”, dice Monrad.
Para Bestuzhev, lo primero que hay que hacer es definir políticas que permitan o denieguen navegadores aprobados y no aprobados para su uso. “Se puede archivar a través de listas blancas y negras, tecnologías de denegación predeterminadas y políticas de directorio activo- implementadas en el endpoint. Y si la red se basa en tecnologías de Microsoft, entonces existe una política granular para implementar desde el directorio hasta los puntos finales de Edge”.+
En este sentido, la educación y concienciación del usuario sobre los riesgos del navegador en la aplicación también son importantes, añade Lowe. “Afortunadamente, se ha aumentado la conciencia general en este punto, por lo que podemos esperar algunos cambios en los mecanismos detrás de los navegadores en el futuro. Definitivamente se está trabajando para evitar que los desarrolladores puedan abusar de esta funcionalidad”.
