Puede que no hayas oído hablar de Sergey Toshin, pero deberías conocer su trabajo.
Toshin es un investigador de seguridad de 24 años en Moscú que se enfoca principalmente en la seguridad de las aplicaciones móviles. Con su conocimiento de cómo se veían las diferentes fallas de seguridad móvil, Toshin creó un escáner de vulnerabilidades de aplicaciones móviles de Android personalizado para encontrar vulnerabilidades de forma rápida y automática en el código de una aplicación, dijo a TechCrunch.
El escáner funciona al descompilar la aplicación de Android y ejecutar el código fuente línea por línea, tal como lo haría un humano, y detectar posibles fallas en el código donde podría activarse una vulnerabilidad. Se necesita un conjunto de reglas, que describe efectivamente diferentes tipos de vulnerabilidades, y busca código vulnerable que cumpla con esas condiciones, dijo Toshin.
Una vez que el escáner termina, escupe un informe que describe dónde se encuentran las vulnerabilidades en el código.
Fue utilizando este escáner, que desarrolló en el transcurso de los últimos dos años, que pudo acelerar el proceso de búsqueda de errores.
“Para participar en una recompensa por errores, simplemente descargaría la aplicación y copiaría las vulnerabilidades identificadas en el informe de vulnerabilidades”, dijo.
En agosto, reveló detalles de una vulnerabilidad de Android que permitía que aplicaciones maliciosas robaran datos confidenciales de usuarios de otras aplicaciones en el mismo dispositivo. Dos semanas después, reveló los detalles de un error en la aplicación de Android de TikTok que podría haber llevado al secuestro de las cuentas de los usuarios.
Estos son solo dos de los cientos de errores de seguridad que ha informado a las empresas a través de sus programas de recompensas por errores, una forma en que los investigadores advierten a las empresas sobre posibles problemas mientras se les paga por sus hallazgos.
“Se me ocurrió lanzar una startup y comenzar a ayudar a otras empresas a encontrar vulnerabilidades en sus aplicaciones móviles”, dijo Toshin a TechCrunch.
Uno de los informes del escáner de vulnerabilidades para una aplicación de Android. (Imagen: Sobreseguro)
Y así fue como se fundó Oversecured. Pero la forma en que Toshin financió su puesta en marcha fue algo poco convencional.
Lo inusual de Oversecured no es que sea autofinanciado, sino que se lanzó a partir de un producto que efectivamente se pagó solo. Toshin obtuvo más de $ 1 millón en recompensas por errores en un año usando su escáner, en gran parte gracias al programa de recompensas de seguridad de Google, que paga mucho más a los investigadores de seguridad por errores de seguridad encontrados en aplicaciones de Android con más de 100 millones de instalaciones.
Oversecured aún no es rentable, pero Toshin tampoco ha tomado ningún financiamiento respaldado por empresas hasta la fecha. La empresa ahora tiene alrededor de cinco desarrolladores, además de diseñadores y traductores, ya que todos los esfuerzos se centran en construir y mejorar el escáner.
La puesta en marcha hasta ahora solo admite escanear aplicaciones de Android. Toshin dijo que el escáner está abierto a los cazadores de errores e investigadores de seguridad, que pueden pagar para escanear cada aplicación, con cinco escaneos gratuitos.
Pero Toshin está apostando fuerte por permitir que los clientes empresariales compren el acceso al escáner y lo integren con sus herramientas de desarrollo. Oversecured lanzó su oferta B2B la semana pasada, lo que permite a los creadores de aplicaciones integrar el escáner directamente en sus procesos de desarrollo de aplicaciones existentes para encontrar errores durante la codificación.
Toshin dijo que los clientes empresariales pronto obtendrán soporte para escanear el código fuente de Swift para aplicaciones de iOS.
Oversecured se une a una serie de otras empresas de seguridad de aplicaciones establecidas en el espacio. Pero Toshin confía en que su tecnología destaca entre la multitud.
“Es importante encontrar todo”, dijo.
Leer más:
Source link