Gracias por la A2A Meghana. Si no fuera por ti, no habría encontrado esta aplicación.
Advertencia emptor. No soy un experto en seguridad, ni siquiera por hobby. Pero entiendo algunas características básicas de cómo funciona, qué tipo de posibles consecuencias puede haber por poner mis datos en qué cesta.
Entonces, obteniendo el A2A, me dirigí a un motor de búsqueda confiable y encontré el sitio web. Quería entender de qué se trata, qué hace y cómo lo hace.
- ¿Cuál es la mejor solución para convertir un sitio web de red social existente creado con CodeIgniter en una aplicación móvil en tiempo real (no web móvil)?
- ¿Por qué las aplicaciones móviles son más pequeñas que las aplicaciones de escritorio equivalentes?
- ¿Podemos crear aplicaciones de redes sociales como WhatsApp y Hike desde Java?
- ¿Cuál es la mejor herramienta de automatización para pruebas de seguridad para una aplicación web y aplicaciones móviles?
- ¿Las aplicaciones usan más datos que el navegador web?
Ahora, lo primero que me llamó la atención fue que su URL era http y no https. Lo que significa que no tienen redireccionamientos SSL, ni siquiera implementaron su sitio web en un servidor con certificado SSL. Intenté cargar la versión https, pero simplemente no estaba allí.
Esto no es una vulnerabilidad de seguridad per se. Es posible que su aplicación realice solicitudes AJAX al backend con un buen cifrado. Y esa aplicación de fondo se puede implementar en un servidor con cifrado SSL fuerte, lo que prohíbe los ataques de intermediarios.
Pero, de nuevo, es una bandera roja. Utilicé WAppalyzer para averiguar qué tecnología se está utilizando en la página. Ahora, WAppalyzer me dice que este sitio está construido con WordPress, PHP 5.4.37 y se ha implementado en Apache HTTPD.
Otra bandera roja: preferiría usar NGINX sobre Apache, principalmente para cosas como esta. Hasta ahora, he visto que WAppalyzer no detecta ninguna tecnología de fondo cuando se trata de Facebook, Google o Twitter.
Y una de las razones es que estos tres tienen buenos generadores de proxy inverso y equilibradores de carga. De todos modos, estoy divagando.
Pasé a la sección de seguridad del sitio web de moneyview. Indican claramente que están utilizando encriptación SSL de 256 bits. Y nunca te piden tu contraseña bancaria o nombre de usuario. Si tuviera que cumplir con su palabra, esto parece correcto en lo que respecta a la seguridad.
La forma en que funciona la aplicación es que accede a sus SMS-es, y realiza un seguimiento de sus gastos haciendo una búsqueda basada en RegEx en ellos. Entonces, cuando carga su billetera de pago o paga su factura de Uber o saca dinero del cajero automático, actualiza su registro en función del SMS que recibe por el mismo.
No guardo ningún SMS como ese, lo borro después de leer. Así que realicé 2-3 transacciones después de instalar la aplicación, luego eliminé los SMS que recibí. Revisé la aplicación para ver si me puede informar sobre mis gastos.
No Nada Zilch No había nada. En realidad, había algo. Una opción para actualizar el registro en función de los últimos SMS. Me reí entre dientes, ¡al menos hazlo tú mismo!
¿Es seguro? Probablemente, si tuviéramos que cumplir con su palabra. Tal vez alguien pueda verificar el tráfico de la aplicación con su servidor y decirme.
¿Confiaría en eso? Bueno, ciertamente no causó ninguna buena primera impresión.
¿Lo usaría para mis propias finanzas? No creo que necesite una aplicación de gestión financiera. Puedo rastrear mis gastos bastante bien.
¿Se lo recomendaría a alguien más? Claro, pero también les advertiría. Es un producto nuevo. Primero déjelos descubrir y corregir los errores que aparecen. Tal vez espere un mes o dos.