Serie M1: Uso Inadecuado de Credenciales
Serie M1: Uso Inadecuado de Credenciales
Esta publicación forma parte de la serie M1: Uso Inadecuado de Credenciales una vunerabilidad muy comun que la podemos pasar por alto y puede tener consecuencias significativas. Usuarios no autorizados podrían acceder a información o funciones confidenciales de la aplicación móvil o de sus sistemas administrativos. Esto puede provocar filtraciones de datos, pérdida de la privacidad del usuario, actividades fraudulentas y un posible acceso a funciones administrativas.
Demostrando qué NO hacer
En esta primera parte veremos cómo NO gestionar secretos en tu app Flutter:
mostraremos cómo un atacante puede extraer esas credenciales en minutos con herramientas gratuitas como jadx, Cutter o simples comandos de terminal.
Demostrare por que no debemos cometer estos 3 errores tipicos:
- Hardcodear claves en texto plano
- Incluir un archivo
.enven assets - Usar constantes públicas en código
🛠️ 1. Preparar la app de ejemplo
Creamos un proyecto base y usaremos formas comunes (incorrectas) de gestionar credenciales en la app:
- Hardcode en texto plano
- Constante pública
- Archivo
.env
Proyecto para el laboratorio: https://github.com/fluttersecure/hardcode-secrets
Video del lab:: https://www.youtube.com/watch?v=UrYmbjFbPRU