Know Your Customer & Deepfake Mobile Application Analysis

Si tu empresa sufre fraude asociado a la validación de identidad y validación de biometría, podemos brindarte una solución. Ayudamos a tu empresa a validar la implementación de SDKs de reconocimiento facial y verificación de identidad utilizados en aplicaciones móviles (Android & iOS), sin importar si el desarrollo es nativo o híbrido.

Durante estos ejercicios analizamos con nuestro equipo de profesionales de forma estática y dinámica si los SDKs utilizados son inseguros, tienen vulnerabilidades conocidas o si es posible realizar algún tipo de explotación en la implementación de estos. Todo esto, con el fin de poder identificar debilidades en el proceso biométrico, mejorar la seguridad y entregar un reporte técnico detallado con hallazgos y recomendaciones.

Know Your Customer

¿Qué ofrecemos?

Ayudamos a tu empresa a mejorar la ciberseguridad sobre implementaciones de terceros comúnmente utilizadas en procesos KYC móviles, evaluando implementaciones como:

  • Captura y procesamiento biométricos.
  • Detección de vida (liveness detection) y sus diversas implementaciones.
  • Validación documental (según el proceso).
  • Controles antifraude.
  • Protección contra deep fakes.
  • Protecciones binarias o derivadas de RASPs.

¿Cómo podemos detectarlo?

Utilizando Tungstenic (nuestra herramienta de análisis estático y dinámico) rápidamente podemos detectar que vendor implementa cada a aplicación, así como también de qué forma se implementa el mismo.

Know Your Customer

Algunas de las protecciones biométricas que detectamos:

facephifacetecincodejumiometamapvu_security

¿Qué tipos de pruebas realizamos?

  • Analizamos la implementación de los SDKs de KYC tanto en integraciones nativas como no nativas, revisando cómo están incorporados dentro de la aplicación y cómo interactúan con el resto de los componentes, tanto en Android como en iOS. Sin importar si la aplicación está desarrollada en de forma nativa o híbrida (Flutter, React Native, Expo.io, etc).
  • Evaluamos vulnerabilidades asociadas al proceso completo de KYC, incluyendo la carga de información, el procesamiento y lectura de datos (OCR), con foco en documentos utilizados durante la validación de identidad.
  • Realizamos pruebas orientadas a la modificación, creación y manipulación de documentos requeridos en el proceso de KYC, analizando cómo responde la implementación ante estos escenarios.
  • Utilizamos herramientas desarrolladas por Just Mobile Security (JMS) para la generación y manipulación de imágenes, videos y gestos, incluyendo técnicas de spoofing de cámara, enfocadas en evaluar la robustez de los controles biométricos implementados.
  • Este tipo de evaluaciones suele estar directamente asociado al análisis de protecciones binarias y mecanismos de RASP, los cuales son revisados y, cuando aplica, bypasseados por el equipo de Just Mobile Security como parte del proceso de evaluación de seguridad.

Nuestro equipo de especialistas cuenta con mucha experiencia analizando implementaciones ampliamente adoptadas en la industria, tales como:

  • MetaMap
  • FaceTec
  • Sumsub
  • Jumio
  • Facephi
  • Incode
  • Trulioo
  • Ondato
  • Idenfy
  • Onfido
  • Custom implementations y más!
Todas las marcas y nombres comerciales mencionados son propiedad de sus respectivos titulares. Este servicio es completamente independiente y no implica afiliación, certificación, aprobación ni relación comercial alguna con los proveedores mencionados. El análisis se realiza sobre la implementación específica del cliente y su integración técnica.

¿Te interesa saber más del servicio?

¡No dudes en contactarnos!

sales@justmobilesec.comhttps://www.justmobilesec.com/en/contact

¿Estás interesado en el servicio de Know Your Customer?

Contactanos

Nuestros servicios

Mobile Penetration Testing

Basado en las metodologías de OWASP y la experiencia de nuestros consultores. Analizamos tus aplicaciones móviles (Android/iOS) en busca de potenciales vulnerabilidades, asociadas durante la etapa de desarrollo de la aplicación
Leer más

Web Penetration Testing

Somos conscientes de la información sensible de nuestros clientes, con lo cual entendemos la necesidad de proteger y resguardar la transferencia de información realizado por las aplicaciones móviles
Leer más

Network Penetration Testing

Nuestro servicio de Ethical Hacking Penetration Testing for External and Internal Networks tiene el objetivo de descubrir las vulnerabilidades o las debilidades que requieren atención inmediata, aquellas que podrían causar pérdidas económicas y daños al dueño de la compañía o la red.
Leer más

Social Engineering Attacks

Nuestro servicio de Social Engineering Security Assessment constituye una evaluación de seguridad especializada diseñada meticulosamente para instalar hábitos seguros en los usuarios finales.
Leer más

Capacitaciones

  • OWASP Top Ten Mobile
  • OWASP Security API Top Ten
  • Reversing Apps Android
  • Reversing Apps iOS
    • Leer más