Infiltra tu propia aplicación React Native

Rate this content
Bookmark

¿Alguna vez te has preguntado cómo los hackers pueden comprometer tu aplicación y tus datos? En esta charla verás cómo infiltrar tu propia aplicación con diferentes técnicas como la descompilación, el espionaje, etc. Al final de la charla, te irás un poco asustado pero más preparado con algunas prácticas excelentes para infiltrar tu propia aplicación y el conocimiento para combatirlos.

This talk has been presented at React Summit 2022, check out the latest edition of this React Conference.

FAQ

El iPhone de Jeff Bezos fue hackeado debido a una vulnerabilidad en WhatsApp, no en iOS, permitiendo que actores malintencionados infiltraran su dispositivo.

Las características de una aplicación como las funcionalidades de restablecimiento de contraseña pueden ser explotadas para realizar acciones maliciosas, como en el caso de 7-eleven donde se ordenaron productos en línea utilizando cuentas de usuario comprometidas.

Es crucial verificar la autenticidad de las aplicaciones, especialmente aquellas que solicitan permisos no necesarios o que imitan marcas populares, para evitar la instalación de software malintencionado.

El 'falso Xcode' es una versión modificada del entorno de desarrollo de Apple que puede contener código malicioso destinado a comprometer las herramientas y dependencias utilizadas por los desarrolladores.

British Airways fue multada con $20 millones debido a un ataque que utilizó un keylogger insertado en Modernizr, el cual capturó información de tarjetas de crédito introducida en la página de pago.

OWASP es un marco de código abierto que identifica las principales vulnerabilidades de seguridad en aplicaciones móviles y ofrece guías y proyectos para mejorar la seguridad de las mismas.

Es importante conocer todas las dependencias del proyecto, revisar constantemente las actualizaciones y cambios en el código, y utilizar herramientas que escaneen y verifiquen las vulnerabilidades de seguridad en ellas.

Los desarrolladores pueden proteger sus aplicaciones utilizando técnicas como la ofuscación de código, herramientas de seguridad para pruebas de penetración, y asegurando que todas las claves y datos sensibles estén protegidos y no expuestos en el código.

Wouter van den Broek
Wouter van den Broek
24 min
17 Jun, 2022

Comments

Sign in or register to post your comment.
Video Summary and Transcription
Cada error y función puede ser una posible falla o punto de entrada para actores malintencionados. Los proyectos de React Native tienen muchas dependencias que pueden ser explotadas. Es importante comprender el código nativo de tu aplicación y seguir las pautas de seguridad. Analizar y modificar el código puede alterar el comportamiento de una aplicación. Empaquetar y modificar el código compilado es relativamente fácil. Las vulnerabilidades de actualización de la aplicación se pueden demostrar redirigiendo URL. Las revisiones de código y las herramientas automatizadas son importantes para la responsabilidad. Hay recursos disponibles para aprender sobre precauciones básicas de seguridad para React Native.

1. Risks of Bugs, Flaws, and Fake Apps

Short description:

Esta es una noticia que no quieres ver. Como propietario de un producto o como negocio, no quieres. Como desarrollador también, no quieres ver este titular apareciendo en el New York Times. Cada error y característica también pueden ser una falla potencial o un punto de entrada potencial para que un actor malintencionado aproveche tu aplicación o negocio. Las aplicaciones falsas utilizan tu marca o icono para crear aplicaciones falsas e intentar obtener privilegios. Hay miles de aplicaciones falsas en la tienda de aplicaciones. Algunas tiendas de aplicaciones son falsas y contienen código malicioso. Los atacantes apuntan a tus herramientas y dependencias.

Esta es una noticia que no quieres ver. Como propietario de un producto o como negocio, no quieres. Como desarrollador también, no quieres ver este titular apareciendo en el New York Times. Este realmente apareció en 2002, 2020, lo siento, porque el iPhone de Jeff Bezos fue hackeado debido a una vulnerabilidad en WhatsApp, no en iOS, como se mencionó varias veces, por supuesto, hay algunas vulnerabilidades para iOS en sí mismo. Pero esto sucedió porque WhatsApp cometió un error en algún lugar, por lo que fueron, sí, y Jeff Bezos fue infiltrado de esa manera y se escaló en iOS varias veces. Entonces, cada vez que creas una característica o creas código, por supuesto, hay una posibilidad de un error. Y cada error y característica también pueden ser una falla potencial o un punto de entrada potencial para que un actor malintencionado lo use y pueda aprovechar tu aplicación, aprovechar tu negocio. Entonces, en la investigación, se encontró que aproximadamente el 75% de las aplicaciones tienen errores o características que pueden ser utilizadas para infiltrar tu aplicación o aprovechar tu negocio. Por ejemplo, el caso de 7-eleven fue una característica interesante, que utilizaron para restablecer tu contraseña, que, por supuesto, es una funcionalidad obvia, pero pensaron, ¿qué sucede si cambias tu correo electrónico? Entonces, si cambias tu correo electrónico todo el tiempo, tal vez puedas ingresar otro correo electrónico y restablecer tu contraseña de esa manera. Suena genial, pero por supuesto, si alguien nuevo y varias personas nuevas, restablecen contraseñas de otras cuentas de usuario y luego simplemente ordenan todo lo que pueden en línea. Esa característica se utilizó de manera incorrecta varias veces y, como se menciona aquí, también les costó dinero a ellos. Otra cosa que se ve mucho en línea son las aplicaciones falsas. Entonces, utilizan tu marca o tienen tu icono, si también es muy popular, para crear aplicaciones falsas, ponerlas en la tienda de aplicaciones, por ejemplo, iOS o Android, no importa realmente, y tratar de atraerte para que descargues esa aplicación y tratar de obtener privilegios. Por ejemplo, pueden solicitar permisos de contacto para la lista de contactos en la aplicación, aunque tu aplicación normal no lo hace, la aplicación falsa sí lo hace y simplemente carga esa lista de contactos tuya en su propio servidor y trata de hacerlo de esa manera. Otro truco es, por supuesto, lo que hacen es tratar de poner anuncios en tu aplicación. Entonces, hacen una aplicación copia, solo 101, e ingresan código de anuncios en ella. Entonces, si abres la aplicación, hay anuncios que no agregaste, por lo que están obteniendo ganancias de tu aplicación también. Pensarías que Apple y Google harían un gran trabajo protegiendo tu aplicación, por supuesto, porque tienen este proceso de revisión realmente bueno, que a todos les encanta y odian. Pero aún así, hay miles de aplicaciones falsas en la tienda de aplicaciones en este momento. Por supuesto, algunas con grandes marcas, mientras que otras más pequeñas, que hacen esto todo el día. Y también, hay algunas tiendas de aplicaciones que no son realmente tiendas de aplicaciones, sino que son falsas tiendas de aplicaciones con aplicaciones correctas, por ejemplo, porque algunas aplicaciones son costosas y las personas intentan usarlas de forma gratuita. Entonces, irán a una tienda de aplicaciones que no es, por supuesto, la de Google o la de Apple, y luego descargarán la aplicación. Y por lo general, también hay código malicioso allí, porque también necesitan obtener ganancias de ti, por supuesto. En el ejemplo de Fortnite, por ejemplo, Fortnite sigue siendo un juego popular, pero ellos anunciaron que estaban haciendo una versión móvil de él. Hicieron una aplicación de Android que descargaba el juego real, digamos así, por lo que hicieron una aplicación de lanzamiento. Entonces, todos hicieron una aplicación de lanzamiento falsa, que descargaba alguna otra aplicación, que por supuesto escalaba los permisos y, por supuesto, intentaba inyectar todo en tu dispositivo móvil. Otro ejemplo es que no solo atacan tu aplicación, sino también tus herramientas que usas todos los días. Por supuesto, el falso Xcode, como lo llamamos, es un ejemplo de eso. Y no solo las herramientas, sino también tus dependencias. Entonces, todas las dependencias que tienes en tu aplicación son objetivo para llegar a tu dispositivo, ya sea en tu MacBook o laptop.

2. React Native Seguridad y Mejores Prácticas

Short description:

Y tratan de buscar credenciales o colocar un minero de criptomonedas en tu dispositivo. Los proyectos de software tienen muchas dependencias, que proporcionan puntos de entrada para actores malintencionados. Los hacks de British Airways y MPM son ejemplos destacados. Para proteger tu aplicación, comprende su código nativo, contrata expertos si es necesario y sigue las pautas de seguridad. Mira las charlas de Julia de Cossack Labs para obtener información sobre la seguridad de React Native. OWASP proporciona las 10 principales vulnerabilidades de seguridad para dispositivos móviles. Utiliza el proyecto de requisitos y verificación móvil para evaluar la seguridad de tu aplicación.

Y tratan de buscar, por ejemplo, XSKEYS para AWS u otras credenciales que desean tener, o simplemente colocan un minero de criptomonedas en tu dispositivo sin que lo sepas y obtienen beneficios de ti también. Porque en la actualidad, los proyectos de software tienen en promedio alrededor de 203 dependencias, creo que React, por supuesto, tiene algunas más, pero ese es el promedio en este momento, hay muchas formas para que ellos, los actores malintencionados, también accedan a las dependencias y luego intenten acceder a la aplicación.

Especialmente, por supuesto, también intentan hacerlo en tu máquina, para explotar eso, pero también quieren explotar la aplicación que estás creando, por lo que eventualmente llegarán al dispositivo, comprarán tu aplicación y luego intentarán obtener los datos que desean. Creo que el caso de British Airways es uno de los más destacados aquí. Utilizaron Modernizr, que es, por supuesto, un marco web para atacar, pero también lo usaron en dispositivos móviles, y lo que hicieron fue crear un keylogger dentro de Modernizr y luego lo enviaron a BA y cada página en BA recibió ese script, incluida la página de pago, por lo que todo lo que escribiste en la página de pago también se les envió a ellos. Por supuesto, todas las tarjetas de crédito, etc., se les enviaron y lo utilizaron, por supuesto, para realizar todas las compras, etc. BA fue multada con $20 millones el año pasado solo por este hack, por lo que fue un truco realmente costoso que hicieron en ellos. Y también desde el año pasado, supongo, fue el de MPM, el parcial de la interfaz de usuario, fue que agregaron un CryptoMiner para tu máquina. Entonces, si ejecutas eso o agregas la versión más reciente de esa dependencia, entonces, por supuesto, también obtienes ese CryptoMiner. Entonces, ¿qué podemos hacer al respecto?

En primer lugar, y creo que Katie hizo un gran trabajo al decir eso también, conoce tu cargador de servicios y también conoce el código nativo de tu código react native. Por supuesto, la mayoría de las personas conocerán el código JS o el código TypeScript también, pero trata de comprender las otras partes que tu aplicación React Native está utilizando también. Si no puedes hacerlo tú mismo, intenta contratar a alguien o contratar a alguien para ver qué hace el código y qué no hace para que puedas evaluar qué factores de ataque hay en tu código. Documentación, por supuesto, nuevamente agradeciendo a Katie por la React Native documentación de seguridad que hizo para la mayoría del grupo, lo cual es genial. React Native en sí mismo en el sitio web tiene algunas pautas de seguridad, así que síguelas también. Google y Apple, para el lado nativo, también tienen excelentes pautas de seguridad, así que sabrás qué hacer y qué no hacer con tus datos y detalles de seguridad, etc. Un gran reconocimiento a Julia, porque debería haber un video de YouTube aquí, pero supongo que el internet no está funcionando muy bien en este momento. Julia es de Cossack Labs, que es una empresa de seguridad de Ucrania. Ella ya tiene algunas charlas sobre React Native y seguridad desde hace algunos años. Por favor, míralas porque son realmente muy buenas para conocer cómo funciona React Native con el lado nativo también para el puente y todas las cosas que necesitas tener en cuenta. Tenemos OWASP, que es un marco de código abierto. También lo tenemos para la web. Tenemos las 10 principales vulnerabilidades de OWASP para la web. También lo tenemos para dispositivos móviles, que se muestra en la infografía aquí también. Tenemos las 10 vulnerabilidades de seguridad más utilizadas que se utilizan en la práctica. Échales un vistazo. Verifica si tu aplicación se encuentra en ese espacio y trata de mejorar en eso. También tienen otro proyecto, que es el proyecto de requisitos y verificación móvil, que principalmente, por supuesto, hay mucha documentación, pero también tiene una hoja de Excel con todas las cosas que puedes verificar para ver si tu aplicación es segura. No solo el código, sino también el proceso, etc.

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Elevando el Listón: Nuestro Viaje Haciendo de React Native una Opción Preferida
React Advanced 2023React Advanced 2023
29 min
Elevando el Listón: Nuestro Viaje Haciendo de React Native una Opción Preferida
This Talk discusses Rack Native at Microsoft and the efforts to improve code integration, developer experience, and leadership goals. The goal is to extend Rack Native to any app, utilize web code, and increase developer velocity. Implementing web APIs for React Native is being explored, as well as collaboration with Meta. The ultimate aim is to make web code into universal code and enable developers to write code once and have it work on all platforms.
Llevando los Componentes del Servidor React a React Native
React Day Berlin 2023React Day Berlin 2023
29 min
Llevando los Componentes del Servidor React a React Native
Top Content
React Server Components (RSC) offer a more accessible approach within the React model, addressing challenges like big initial bundle size and unnecessary data over the network. RSC can benefit React Native development by adding a new server layer and enabling faster requests. They also allow for faster publishing of changes in mobile apps and can be integrated into federated super apps. However, implementing RSC in mobile apps requires careful consideration of offline-first apps, caching, and Apple's review process.
Herramienta Multiplataforma de React Native Kotlin
React Day Berlin 2022React Day Berlin 2022
26 min
Herramienta Multiplataforma de React Native Kotlin
Top Content
The Talk discusses the combination of React Native and Kotlin Multiplatform for cross-platform app development. Challenges with native modules in React Native are addressed, and the potential improvements of using Kotlin Multiplatform Mobile are explored. The integration of Kotlin Multiplatform with React Native streamlines native implementation and eliminates boilerplate code. Questions about architecture and compatibility, as well as the possibility of supporting React Native Web, are discussed. The React Native toolkit works with native animations and has potential for open-source development.
Construyendo Bibliotecas de Componentes Multiplataforma para Web y Nativo con React
React Advanced 2021React Advanced 2021
21 min
Construyendo Bibliotecas de Componentes Multiplataforma para Web y Nativo con React
Top Content
This Talk discusses building cross-platform component libraries for React and React Native, based on a successful project with a large government-owned news organization. It covers the requirements for React Native knowledge, building cross-platform components, platform-specific components, styling, and the tools used. The Talk also highlights the challenges of implementing responsive design in React Native.
¿MDX en React-Native!?
React Advanced 2021React Advanced 2021
21 min
¿MDX en React-Native!?
Top Content
This Talk is about the development of MDX, a combination of Markdown and JSX, by a freelance full stack JavaScript developer. MDX is a powerful technology that allows for the creation of interactive content within blog posts and supports React components. The speaker developed RnMDX, a proper and polished MDX library for React Native, which can be dropped into any React Native app. RnMDX provides solutions for common issues with Markdown content in React Native and allows for the rendering of MDX content into native views. Bringing MDX into native apps is now easier, and it can be used for various purposes, such as serving the app layout from a CMS or creating interactive online magazines or blogs.

Workshops on related topic

Presentando FlashList: Construyamos juntos una lista performante en React Native
React Advanced 2022React Advanced 2022
81 min
Presentando FlashList: Construyamos juntos una lista performante en React Native
Top Content
WorkshopFree
David Cortés Fulla
Marek Fořt
Talha Naqvi
3 authors
En esta masterclass aprenderás por qué creamos FlashList en Shopify y cómo puedes usarlo en tu código hoy. Te mostraremos cómo tomar una lista que no es performante en FlatList y hacerla performante usando FlashList con mínimo esfuerzo. Usaremos herramientas como Flipper, nuestro propio código de benchmarking, y te enseñaremos cómo la API de FlashList puede cubrir casos de uso más complejos y aún así mantener un rendimiento de primera categoría.Sabrás:- Breve presentación sobre qué es FlashList, por qué lo construimos, etc.- Migrando de FlatList a FlashList- Enseñando cómo escribir una lista performante- Utilizando las herramientas proporcionadas por la biblioteca FlashList (principalmente el hook useBenchmark)- Usando los plugins de Flipper (gráfico de llamas, nuestro perfilador de listas, perfilador de UI & JS FPS, etc.)- Optimizando el rendimiento de FlashList utilizando props más avanzados como `getType`- 5-6 tareas de muestra donde descubriremos y solucionaremos problemas juntos- Preguntas y respuestas con el equipo de Shopify
Detox 101: Cómo escribir pruebas de extremo a extremo estables para su aplicación React Native
React Summit 2022React Summit 2022
117 min
Detox 101: Cómo escribir pruebas de extremo a extremo estables para su aplicación React Native
Top Content
WorkshopFree
Yevheniia Hlovatska
Yevheniia Hlovatska
A diferencia de las pruebas unitarias, las pruebas de extremo a extremo buscan interactuar con su aplicación tal como lo haría un usuario real. Y como todos sabemos, puede ser bastante desafiante. Especialmente cuando hablamos de aplicaciones móviles.
Las pruebas dependen de muchas condiciones y se consideran lentas e inestables. Por otro lado, las pruebas de extremo a extremo pueden dar la mayor confianza de que su aplicación está funcionando. Y si se hace correctamente, puede convertirse en una herramienta increíble para aumentar la velocidad del desarrollador.
Detox es un marco de pruebas de extremo a extremo en caja gris para aplicaciones móviles. Desarrollado por Wix para resolver el problema de la lentitud e inestabilidad y utilizado por React Native en sí como su herramienta de pruebas E2E.
Únete a mí en esta masterclass para aprender cómo hacer que tus pruebas de extremo a extremo móviles con Detox sean excelentes.
Prerrequisitos- iOS/Android: MacOS Catalina o más reciente- Solo Android: Linux- Instalar antes de la masterclass
Cómo construir una animación interactiva de “Rueda de la Fortuna” con React Native
React Summit Remote Edition 2021React Summit Remote Edition 2021
60 min
Cómo construir una animación interactiva de “Rueda de la Fortuna” con React Native
Top Content
Workshop
Oli Bates
Oli Bates
- Introducción - Cleo & nuestra misión- Lo que queremos construir, cómo encaja en nuestro producto & propósito, revisar los diseños- Comenzando con la configuración del entorno & “hola mundo”- Introducción a la animación de React Native- Paso 1: Hacer girar la rueda al presionar un botón- Paso 2: Arrastrar la rueda para darle velocidad- Paso 3: Agregar fricción a la rueda para frenarla- Paso 4 (extra): Agregar hápticos para una sensación inmersiva
Construye un potente DataGrid en pocas horas con Ag Grid
React Summit US 2023React Summit US 2023
96 min
Construye un potente DataGrid en pocas horas con Ag Grid
Top Content
WorkshopFree
Mike Ryan
Mike Ryan
¿Tu aplicación React necesita mostrar eficientemente muchos (y muchos) datos en una cuadrícula? ¿Tus usuarios quieren poder buscar, ordenar, filtrar y editar datos? AG Grid es la mejor cuadrícula de JavaScript en el mundo y está llena de características, es altamente eficiente y extensible. En esta masterclass, aprenderás cómo empezar con AG Grid, cómo podemos habilitar la ordenación y el filtrado de datos en la cuadrícula, la representación de celdas y más. Saldrás de esta masterclass gratuita de 3 horas equipado con el conocimiento para implementar AG Grid en tu aplicación React.
Todos sabemos que crear nuestra propia solución de cuadrícula no es fácil, y seamos honestos, no es algo en lo que deberíamos estar trabajando. Estamos enfocados en construir un producto e impulsar la innovación. En esta masterclass, verás lo fácil que es empezar con AG Grid.
Prerrequisitos: React y JavaScript básicos
Nivel de la masterclass: Principiante
Construye un Datagrid Poderoso con AG Grid
React Summit 2024React Summit 2024
168 min
Construye un Datagrid Poderoso con AG Grid
Top Content
WorkshopFree
Brian Love
Brian Love
¿Tu aplicación React necesita mostrar eficientemente muchos (y muchos) datos en una cuadrícula? ¿Tus usuarios quieren poder buscar, ordenar, filtrar y editar datos? AG Grid es la mejor cuadrícula de JavaScript en el mundo y está llena de características, es altamente eficiente y extensible. En esta masterclass, aprenderás cómo comenzar con AG Grid, cómo podemos habilitar la ordenación y filtrado de datos en la cuadrícula, la representación de celdas, y más. Saldrás de esta masterclass gratuita de 3 horas equipado con el conocimiento para implementar AG Grid en tu aplicación React.
Comienza con AG Grid Angular Data Grid
JSNation 2022JSNation 2022
116 min
Comienza con AG Grid Angular Data Grid
WorkshopFree
Stephen Cooper
Stephen Cooper
Comienza con AG Grid Angular Data Grid con un tutorial práctico del equipo principal que te guiará a través de los pasos para crear tu primera cuadrícula, incluyendo cómo configurar la cuadrícula con propiedades simples y componentes personalizados. La edición de la comunidad de AG Grid es completamente gratuita para usar en aplicaciones comerciales, por lo que aprenderás una herramienta poderosa que puedes agregar de inmediato a tus proyectos. También descubrirás cómo cargar datos en la cuadrícula y diferentes formas de agregar representación personalizada a la cuadrícula. Al final del masterclass, habrás creado y personalizado una cuadrícula de datos AG Grid Angular.
Contenido:- comenzando e instalando AG Grid- configurando ordenamiento, filtrado, paginación- cargando datos en la cuadrícula- la API de la cuadrícula- agregar tus propios componentes a la cuadrícula para representación y edición- capacidades de la edición de la comunidad gratuita de AG Grid