PDF de programación - Seguridad en dispositivos móviles

Seguridad en
Seguridad en
Seguridad en
Seguridad en

dispositivos móviles
dispositivos móviles
dispositivos móviles
dispositivos móviles
dispositivos móviles
dispositivos móviles
dispositivos móviles
dispositivos móviles

Mauricio Cisneros

[email protected]

29 de Noviembre

Buenos Aires - Argentina

Seguridad en Dispositivos Móviles

Agenda
Agenda
Agenda
Agenda

• Introducción

• Sistemas Operativos móviles

• Problemáticas actuales

• Aspectos de seguridad en Aplicaciones móviles

• Recomendaciones de Seguridad
• Recomendaciones de Seguridad

INTRODUCCION
INTRODUCCION

Seguridad en Dispositivos Móviles
Historia y Evolución

Historia

1973
1973
1983
1992

Martín Cooper
Martín Cooper
Martín Cooper
Martín Cooper

Dynatac ---- Ejecutivos
Dynatac
Ejecutivos
Dynatac
Dynatac
Ejecutivos
Ejecutivos

IBM Simon
IBM
Simon
IBM
IBM
Simon
Simon

Seguridad en Dispositivos Móviles
Historia y Evolución

Evolución

s
s
e
e
n
n
o
o
i
i
c
c
a
a
r
r
e
e
n
n
e
e
G
G

Primera Generación 0G

Segunda Generación 2G

2.5G

4G4G4G4G

Mayor Ancho

Tercera Generación 3G 7.2mbps

Banda

Analógico
Tecnología AMPS
Tecnología AMPS

Advanced Mobile Phone System

GPRS56k
Digital
HSCSD
GSM-CDMA-PDC
EDGE 384k

EMS
MMS

Digital
UMTS

Sistemas Operativos
Móviles

Apple
Apple

Seguridad en Dispositivos Móviles
Sistemas Operativos Móviles

Sistemas Operativos Móviles

+ Utilizados

Android
Android
Android
Android
iOSiOSiOSiOS
Blackberry
Blackberry
Blackberry
Blackberry

ANDROID
ANDROID
ANDROID
ANDROID
ANDROID
ANDROID
ANDROID
ANDROID

Seguridad en Dispositivos Móviles
Sistemas Operativos Móviles

Android

Desarrollado por Android Inc.
Comprado por Google

Principal producto de la Open Handset
Alliance (OHA)

Basado en Linux.

Multitarea

Soporte diversos Fabricantes (OHA)

Seguridad en Dispositivos Móviles
Características

Arquitectura

Tipo Pila

Cada una de las
capas utiliza
capas utiliza
elementos de la capa
inferior para realizar
sus funciones

Seguridad en Dispositivos Móviles
Características

Seguridad en Dispositivos Móviles
Características

Dalvik Virtual Machine

NoNoNoNo es Virtual Java
Java Machine.
JavaJava
Corre sobre sistemas ligeros y con recursos escasos.
La arquitectura esta basada en registros de memoria

JVM = Pila = .class

DVM = Registros = .dex

Dalvik = VM de procesos independientes

Seguridad en Dispositivos Móviles
Características

Dalvik Virtual Machine

Optimizada para múltiples
múltiples instancias al mismo tiempo
múltiples
múltiples

rendimiento de la memoria
Alto rendimiento
memoria del dispositivo
memoria
rendimiento
rendimiento
memoria

maximizar recursos
Enfocada en maximizar
recursos escasos (Mem, CPU)
recursos
maximizar
maximizar
recursos

Fallo de una aplicación, no afecta a las restantes.

Cada Aplicación es tratado como proceso independiente

Seguridad en Dispositivos Móviles
Características

Rom Oficial

Es el sistema operativo Android de Google base con las mejoras
de la versión correspondiente.

Google
Google

Motorola
Motorola

Claro
Claro

Release de
Rom oficial

Release indirecta

Adaptación
Adaptación
Adaptación
Adaptación
del Vendor

Customización
Customización
Customización
Customización
Operadoras

Cliente

Google

Release directa

Release de Rom oficial

Seguridad en Dispositivos Móviles
Características

Rom NO oficial

Es una Rom modificada a la cual se le agregan nuevos features.
Generalmente poseen Rooting.

Google
Google

Cyanogenmod
Cyanogenmod

Release de
Rom oficial

Modificación

Usuario

Final

Perdida de garantía del equipo

Riesgos de backdoor

ROOTING
ROOTING

Seguridad en Dispositivos Móviles
Rooting

Root, Rooting o Rootear

Riesgos

- Perdida de la garantía oficial del vendor y/o la telefónica
- Si falla?
Método utilizado para obtener los privilegios
privilegios de
privilegios
privilegios
Como se hace?
- Si me agrega un Backdoor?
“root
“root
root” sobre el sistema operativo, generalmente
root” sobre el sistema operativo, generalmente
root
root
root
root
- Perdida de alguna funcionalidad
- Perdida de alguna funcionalidad
obtenido por la explotación
explotación de una vulnerabilidad
explotación
explotación
del kernel de Android.
Doomlord,
Doomlord
Doomlord
Doomlord
Beneficios?
Beneficios?
Beneficios?
Beneficios?

SuperOneClick
SuperOneClick
SuperOneClick
SuperOneClick

- Acceso a todo el filesystem
filesystem
filesystem
filesystem
- Ejecución de aplicaciones que requieran elevados privilegios
(Sniffer)
---- Backup
Backup full (Titanium Backup)
Backup
Backup
- Fácil cambio de ROMROMROMROM
- Overclocking

GOOGLE

PLAY!
PLAY!

Seguridad en Dispositivos Móviles
Google Play

Que es Google Play?

Es el Market de aplicaciones de Google para dispositivos
Android.

Características
Características
Características
Características
Características
Características
Características
Características

- Requiere
Requiere de un IDIDIDID de Google para su uso
Requiere
Requiere
- Sin ID no se permite descarga
- Identificación de Dispositivo
- Chequeo de compatibilidad versión Android

- Informa sobre los permisos de la APP a descargar

Seguridad en Dispositivos Móviles
Google Play

Google Bouncer

Servicio de análisis automatizado de software potencialmente
malicioso en Google Play.

Como funciona?
Como funciona?

Análisis de Aplicaciones en Sandbox Quemu
Quemu
Quemu
Quemu
Búsqueda de malware, spyware y troyanos
Análisis de comportamiento

Análisis de nuevas cuentas de desarrolladores

Seguridad en Dispositivos Móviles
Google Play

Google Bouncer

Si la App resulta maliciosa, es marcada y pasa a revisión
manual.

Android Market también tiene la capacidad de eliminación de
Android Market también tiene la capacidad de eliminación de
malware remota de tu teléfono o tablet, si es necesario.

Droiddream
Droiddream, , , ,
Droiddream
Droiddream
Se coló en el Market de google, con más
de 250.000 descargas

Seguridad en Dispositivos Móviles
Markets alternativos

Markets alternativos

¿Qué son?
Son tiendas alternativas al Market de aplicaciones de Google
para dispositivos Android.
para dispositivos Android.

Conocidas como:

Black Markets
Crack Markets
Free Markets

Seguridad en Dispositivos Móviles
Markets alternativos

Markets alternativos

Sin controles de seguridad

Dudosa procedencia

Aplicaciones modificadas

Malware



Aplicaciones

Android
Android

Seguridad en Dispositivos Móviles
Seguridad en aplicaciones

Aplicaciones

Aplicaciones
Aplicaciones
Aplicaciones
Aplicaciones
Nativas
Nativas
Nativas
Nativas

Aplicaciones de
Aplicaciones de
Aplicaciones de
Aplicaciones de
3ros3ros3ros3ros

Cliente de Correo
SMS
Calendario
Mapas
Navegador
Contactos

Procesadores de texto
Utilitarios
Juegos
Etc.

Seguridad en Dispositivos Móviles
Seguridad en aplicaciones

Aplicaciones

Aplicaciones
Aplicaciones
Aplicaciones
Aplicaciones

Ejecución
Ejecución
Ejecución
Ejecución

Primer Plano
Primer Plano

Foreground
Foreground

TipoTipoTipoTipo

Juego
Juego

Segundo Plano

Background

Servicio SMS

Intermitentes

Combinación

Música

Widgets

Live wallpapers

Seguridad en Dispositivos Móviles
Seguridad en aplicaciones

“…a la larga, todo recae en los permisos…”

Las APIAPIAPIAPI de Android se encuentran protegidas
protegidas por permisos.
protegidas
protegidas

Con el fin de acceder a las API mediante llamados, los
Con el fin de acceder a las API mediante llamados, los
solicitar los permisos
desarrolladores deben de solicitar
desarrolladores
permisos correspondientes.
permisos
solicitar
desarrolladores
desarrolladores
solicitar
permisos

Overprivileged
Overprivileged
Overprivileged
Overprivileged

Término mediante el cual se identifica a una
aplicaciónquesolicitapermisospordemás.

Seguridad en Dispositivos Móviles
Seguridad en aplicaciones

Permisos

Una aplicación básica de Android no tiene los permisos
asociados con ella.

Para acceder a características del sistema, es necesario
Para acceder a características del sistema, es necesario
declarar en el AndroidManifest.xml
AndroidManifest.xml los permisos.
AndroidManifest.xml
AndroidManifest.xml

El usuario
usuario al momento de la instalación se le pregunta si
usuario
usuario
quiere aceptar o no estos permisos
permisos.
permisos
permisos

Cada aplicación se ejecuta con una "identidad" distinta (ID de
usuario e ID de grupo)

tiempo de ejecución
permisos nononono se pueden cambiar en tiempo
Los permisos
ejecución
tiempo
permisos
permisos
tiempo
ejecución
ejecución

Seguridad en Dispositivos Móviles
Seguridad en aplicaciones

AndroidManifest.xml
AndroidManifest.xml
AndroidManifest.xml
AndroidManifest.xml

Contiene la definición en XML de los aspectos principales
de la aplicación, como por ejemplo su identificación
(nombre, versión, etc), incluidos los permisos
permisos necesarios
permisos
permisos
para su ejecución.
para su ejecución.

Seguridad en Dispositivos Móviles
Seguridad en aplicaciones

Estructura APK

Una aplicación de Android
aplicación de Android empaquetada.
aplicación de Android
aplicación de Android

El Archivo .APK
.APK en realidad, no es más que un fichero
.APK
.APK
comprimido .ZIP.ZIP.ZIP.ZIP renombrado, con una cierta estructura
comprimido .ZIP.ZIP.ZIP.ZIP renombrado, con una cierta estructura
general.

Gestión de
dispositivos
dispositivos

móviles Android.

Seguridad en Dispositivos Móviles
Gestión de dispositivos Android

Gestión - Cerberus

Protección:

- Gestión Via Web fabricante (www.cerberusapp.com)
- Control SMS
- SIM Checker
- SIM Checker

-Localización - Alerta Sonora
- Wipe remoto (Memoria interna - Tarjeta SD)
- Ocultar la aplicación
- Bloquear de dispositivo
- Grabar audio desde el micrófono
- Registro de llamadas del dispositivo
- Sacar fotos

Seguridad en Dispositivos Móviles
Sistemas Operativos Móviles

- Android Beam - NFC
- Face Unlock
- App Encryption

Apple
Apple

Seguridad en Dispositivos Móviles
Sistemas Operativos Móviles

iOS - Apple

Conocido como iPhone OS en sus orígenes.

No funciona en Hardware de 3ros.
No funciona en Hardware de 3ros.

Orie