Gestão de dados laboratoriais (LIMS) e seus aplicativos móveis

Para cientistas e pesquisadores, a otimização do tempo em laboratório atualmente desempenha um papel fundamental no processamento e emissão dos resultados. Existem aplicativos que possuem recursos especializados para laboratórios de P&D, laboratórios de desenvolvimento e fabricação de processos ou laboratórios bioanalíticos. Em muitos casos, este tipo de software é responsável pelo tratamento de dados patológicos, processos de fabricação, gerenciamento de amostras, dados pessoais, resultados clínicos, processos químicos, fórmulas para experimentos «secretos», troca eletrônica de dados, etc. Assim, este tipo de informação atrai os cibercriminosos como em qualquer outra indústria hoje.

As plataformas LIMS (Laboratory Information Management System), também conhecidas como LIS, são um tipo de software desenvolvido para melhorar a produtividade e eficiência dos laboratórios atuais. Esses aplicativos permitem rastrear dados associados a amostras, experimentos, fluxos de trabalho de laboratório e instrumentos.

A arquitetura e implantação deste tipo de plataforma está presente em diversos modelos, entre os principais estão ‘thick-client» e ‘thin-client‘, clientes que rodam a partir de qualquer estação de trabalho , ambientes web, aplicativos móveis e ambientes Cloud e SaaS, que permitem que os usuários desses sistemas se conectem aos servidores onde as funcionalidades e dados do núcleo do LIMS estão armazenados . Neste artigo, faremos uma abordagem do status de segurança de aplicativos móveis que fazem parte da plataforma integral de um LIMS fornecida pelos fabricantes.

Analisando LIMS aplicativos móveis

Selecionamos a última versão de 24 aplicativos (iOS / Android) onde os usuários podem interagir com uma arquitetura LIMS implantada em uma organização e executar as tarefas correspondentes. Dentro desta amostra de aplicativos, nos concentramos em analisar de forma geral apenas o aplicativo móvel . Para esta revisão, usamos um dispositivo Android (com root ), iPhone (sem jailbreak ) e nossas plataformas mASAPP (análise de segurança contínua de aplicativos móveis) e Tacyt (ferramenta de inteligência cibernética de ameaças móveis).

Os principais controles de segurança do OWASP Top 10 Mobile foram considerados para esta análise. Eles, que representam apenas uma visão geral, de uma série de testes que poderiam ser realizados de forma detalhada e exaustiva. Os resultados mostraram que, embora controles de segurança tenham sido implementados para o desenvolvimento deste tipo de aplicação, foram encontradas várias fragilidades que devem ser corrigidas e, principalmente, manter a melhoria contínua no processo de desenvolvimento.

As vulnerabilidades encontradas de acordo com os controles avaliados são encontradas na seguinte matriz de resumo:

Resumo geral dos resultados de controle analisados

(-) Recurso que se aplica apenas a plataformas Android

Pontos fracos encontrados

A seguir, queremos destacar vários pontos fracos que encontramos em estruturas facilmente legíveis entre arquivos XML, chaves de API ou arquivos de configuração, o que denota uma má prática em termos de armazenamento local inseguro.

Imagem 1: Certificados / Arquivos codificados por chave

Imagem 2: Arquivos com chaves de API legíveis

Imagem 3: Chaves de API codificadas no código-fonte

Embora uma grande parte desses aplicativos estabeleçam canais de comunicação seguros (HTTPS) com seus back-ends, como mostra nossa tabela de resultados, alguns canais HTTP não criptografados, aplicativos sem verificar a autenticidade dos certificados, certificados autoassinados ou aplicação de métodos para melhorar o segurança a este respeito.

Imagem 4: Uso de canais HTTP (inseguros) no *back* – *end*

Da mesma forma, entre as práticas de programação de aplicativos inseguras , continuamos a observar a falta de recursos de ofuscação de código (despersonalização) para impedir o processo de reversão , eliminar arquivos obsoletos ou de teste, não usar funções ou APIs obsoletas, não usar funções de depuração ou registro em aplicativos produtivos ou comentários muito descritivos no código. Recursos incluídos na maioria dos guias de prática de desenvolvimento seguros.

Imagem 5: Revisão das classes após o processo de descompilação das DLLs

Imagem 6: Arquivos para testes armazenados no aplicativo

Figura 7: Uso não seguro para transmissão de credencial (base64)

Figura 8: Funções de depuração / registro usadas

Conclusões

As aplicações móveis têm beneficiado o monitoramento e automação de processos laboratoriais, onde se destacam funcionalidades como localização e monitoramento de amostras, inventários, integração com instrumentos e outras plataformas, otimização de workflows e muito mais. No entanto, não devemos negligenciar os desafios associados aos controles de segurança que, nesses tipos de aplicações, requerem uma consideração cuidadosa por parte dos projetistas de equipamentos, desenvolvedores de software e sistemas de controle, bem como um bom conhecimento dos controles de segurança usuários que os usam.

Os negócios das empresas da chamada ‘bioeconomia’ e seus laboratórios do futuro estão enfrentando os riscos informáticos associados às violações de segurança que os cibercriminosos podem aproveitar para obter receitas na indústria do cibercrime. Do outro lado da moeda somos pesquisadores, organizações, fabricantes e a comunidade que buscam trazer segurança a esse “novo” ecossistema.

Criptografia plausivelmente negável ou como revelar uma chave sem revelá-laCVE 2020-35710 ou como o RAS Gateway Secure revela o espaço de endereçamento interno da sua organização