保護DataHogo
Enciclopedia de Seguridad/OWASP Mobile Top 10
mediumCWE-16M8:2024

Configuración Insegura (Móvil)

La app móvil sale con modo debug habilitado, permisos excesivos, activities exportadas o backup permitido — exponiendo datos y funcionalidad a otras apps.

Cómo Funciona

La configuración insegura móvil incluye modo debug habilitado en builds de release, pedir permisos innecesarios, componentes Android exportados sin protección, permitir backup de datos de la app, o no usar las features de seguridad más recientes. El modo debug puede exponer logging, habilitar ejecución de código arbitrario y bypasear checks de seguridad. Permisos excesivos dan a la app (y a cualquier atacante que la comprometa) acceso a recursos sensibles del dispositivo.

Código Vulnerable
<!-- AndroidManifest.xml -->
<application
  android:debuggable="true"
  android:allowBackup="true">
  <activity
    android:name=".AdminActivity"
    android:exported="true" />
Código Seguro
<!-- AndroidManifest.xml -->
<application
  android:debuggable="false"
  android:allowBackup="false">
  <activity
    android:name=".AdminActivity"
    android:exported="false" />

Ejemplo Real

En 2020, una app de pagos popular en India (Paytm) fue encontrada con android:debuggable=true en su build de producción. Esto permitía a atacantes adjuntar un debugger, inspeccionar memoria y potencialmente extraer información sensible de pagos.

Cómo Prevenirlo

  • Siempre configura debuggable=false en builds de release
  • Solicita solo permisos necesarios
  • Configura exported=false para componentes internos
  • Deshabilita android:allowBackup o encripta datos de backup

Tecnologías Afectadas

MobileReact NativeFlutter

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Uso Incorrecto de Credenciales

critical

API keys, passwords o tokens hardcodeados directamente en el código fuente de la app móvil — fácilmente extraíbles al decompilar el bundle.

CWE-798M1:2024

Seguridad de Cadena de Suministro Móvil

medium

SDKs vulnerables, librerías nativas desactualizadas o módulos de terceros comprometidos introducen riesgos de seguridad desde tus dependencias.

CWE-1395M2:2024

Autenticación/Autorización Insegura

high

Apps móviles con autenticación débil — guardando sesiones de forma insegura, sin refresh de tokens o checks de autorización solo en el cliente.

CWE-287M3:2024

Validación Insuficiente de Input/Output

medium

Apps móviles que no validan input de usuario o sanitizan output son vulnerables a ataques de inyección, corrupción de datos y comportamiento inesperado.

CWE-20M4:2024