Puede que no hayas oído hablar de Sergey Toshin, pero deberías conocer su trabajo.
Toshin es un investigador de seguridad de 24 años de Moscú que se centra principalmente en la seguridad de las aplicaciones móviles. Con su conocimiento de cómo se veían las diferentes fallas de seguridad móvil, Toshin construyó un escáner de vulnerabilidades de aplicaciones móviles de Android personalizado para encontrar vulnerabilidades de forma rápida y automática en el código de una aplicación, dijo a TechCrunch.
El escáner funciona descompilando la aplicación de Android y ejecutando el código fuente línea por línea, tal como lo haría un humano, y detectando posibles fallas en el código donde se podría desencadenar una vulnerabilidad. Se necesita un conjunto de reglas, que describe de manera efectiva diferentes tipos de vulnerabilidades, y busca código vulnerable que cumpla con esas condiciones, dijo Toshin.
Una vez que el escáner termina, escupe un informe que describe dónde están las vulnerabilidades en el código.
Gracias a este escáner, que desarrolló a lo largo de los últimos dos años, pudo acelerar el proceso de búsqueda de errores.
“Para participar en una recompensa por errores, simplemente descargaría la aplicación y copiaría las vulnerabilidades identificadas en el informe de vulnerabilidades”, dijo.
En agosto, reveló detalles de una vulnerabilidad de Android que permitía que aplicaciones maliciosas robaran datos confidenciales de usuarios de otras aplicaciones en el mismo dispositivo. Dos semanas después, dejó caer detalles de un error en la aplicación de Android de TikTok que podría haber llevado al secuestro de cuentas de usuario.
Estos son solo dos de los cientos de errores de seguridad que ha informado a las empresas a través de sus programas de recompensas por errores, una forma en que los investigadores pueden advertir a las empresas sobre posibles problemas mientras se les paga por sus hallazgos.
“Se me ocurrió lanzar una startup y comenzar a ayudar a otras empresas a encontrar vulnerabilidades en sus aplicaciones móviles”, dijo Toshin a TechCrunch.
Uno de los informes del escáner de vulnerabilidades para una aplicación de Android. (Imagen: Oversecured)
Y así fue como se fundó Oversecured. Pero la forma en que Toshin financió su puesta en marcha fue algo poco convencional.
Lo inusual de Oversecured no es que sea autofinanciado, sino que se lanzó a partir de un producto que efectivamente se pagó por sí mismo. Toshin obtuvo más de $ 1 millón en recompensas por errores en un año usando su escáner, en gran parte gracias al programa de recompensas de seguridad de Google, que paga a los investigadores de seguridad mucho más por errores de seguridad encontrados en aplicaciones de Android con más de 100 millones de instalaciones.
Oversecured aún no es rentable, pero Toshin tampoco ha recibido ningún financiamiento respaldado por empresas hasta la fecha. La empresa cuenta ahora con unos cinco desarrolladores, además de diseñadores y traductores, ya que todos los esfuerzos se centran en construir y mejorar el escáner.
Hasta ahora, el inicio solo admite el escaneo de aplicaciones de Android. Toshin dijo que el escáner está abierto a cazadores de errores e investigadores de seguridad, que pueden pagar para escanear cada aplicación, con cinco escaneos gratis.
Pero Toshin está apostando fuerte por permitir a los clientes empresariales comprar acceso al escáner e integrarlo con sus herramientas de desarrollo. Oversecured lanzó su oferta B2B la semana pasada, permitiendo a los fabricantes de aplicaciones integrar el escáner directamente en sus procesos de desarrollo de aplicaciones existentes para encontrar errores durante la codificación.
Toshin dijo que los clientes empresariales pronto recibirán soporte para escanear el código fuente de Swift para aplicaciones de iOS.
Oversecured se une a otras empresas de seguridad de aplicaciones establecidas en el espacio. Pero Toshin confía en que su tecnología se destaca entre la multitud.
“Es importante encontrar todo”, dijo.
Lee mas:
Source link