PDF de programación - Seguridad de dispositivos móviles: Android

SIN CLASIFICAR



GUÍA DE SEGURIDAD DE LAS TIC

(CCN-STIC-453)



SEGURIDAD DE DISPOSITIVOS MÓVILES:

ANDROID



MAYO 2013

SIN CLASIFICAR

CCN-STIC-453



Seguridad de dispositivos móviles: Android

SIN CLASIFICAR



Edita:



 Centro Criptológico Nacional, 2013
NIPO 002-13-027-1

Fecha de Edición: mayo de 2013
Raúl Siles ha participado en la elaboración y modificación del presente documento y sus anexos.

LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.

AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante
alquiler o préstamo públicos.

Centro Criptológico Nacional



SIN CLASIFICAR

2

SIN CLASIFICAR



Seguridad de dispositivos móviles: Android

CCN-STIC-453



PRÓLOGO



Entre los elementos más característicos del actual escenario nacional e internacional figura el
desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC), así
como los riesgos emergentes asociados a su utilización. La Administración no es ajena a este
escenario, y el desarrollo, adquisición, conservación y utilización segura de las TIC por parte
de la Administración es necesario para garantizar su funcionamiento eficaz al servicio del
ciudadano y de los intereses nacionales.

Partiendo del conocimiento y la experiencia del Centro sobre amenazas y vulnerabilidades en
materia de riesgos emergentes, la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional
de Inteligencia, encomienda al Centro Nacional de Inteligencia el ejercicio de las funciones
relativas a la seguridad de las tecnologías de la información en su artículo 4.e), y de protección
de la información clasificada en su artículo 4.f), a la vez que confiere a su Secretario de Estado
Director la responsabilidad de dirigir el Centro Criptológico Nacional en su artículo 9.2.f).

Una de las funciones más destacables que, asigna al mismo, el Real Decreto 421/2004, de 12
de marzo, por el que se regula el Centro Criptológico Nacional es la de elaborar y difundir
normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de
las tecnologías de la información y las comunicaciones de la Administración.

La ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios
públicos, en su artículo 42.2 crea del Esquema Nacional de Seguridad (ENS), que establece
las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de
medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los
servicios electrónicos.

El Real Decreto 3/2010 de 8 de Enero desarrolla el Esquema Nacional de Seguridad y fija los
principios básicos y requisitos mínimos así como las medidas de protección a implantar en los
sistemas de la Administración. En su artículo 29 se autoriza que a través de la series CCN-
STIC el CCN desarrolle lo establecido en el mismo.

La serie de documentos CCN-STIC se ha elaborado para dar cumplimiento a esta función y a
lo reflejado en el ENS, conscientes de la importancia que tiene el establecimiento de un marco
de referencia en esta materia que sirva de apoyo para que el personal de la Administración
lleve a cabo su difícil, y en ocasiones, ingrata tarea de proporcionar seguridad a los sistemas de
las TIC bajo su responsabilidad.


Mayo 2013



Félix Sanz Roldán
Secretario de Estado

Director del Centro Criptológico Nacional



Centro Criptológico Nacional



SIN CLASIFICAR

3

CCN-STIC-453



Seguridad de dispositivos móviles: Android

SIN CLASIFICAR



ÍNDICE


1.
INTRODUCCIÓN .............................................................................................................. 6
2. OBJETO .............................................................................................................................. 6
ALCANCE ........................................................................................................................... 7
3.
ENTORNO DE APLICACIÓN DE ESTA GUÍA............................................................ 7
4.
5.
CONFIGURACIÓN DE SEGURIDAD DE ANDROID ............................................... 11
ACTUALIZACIÓN DEL SISTEMA OPERATIVO: ANDROID ................................................. 11
5.1

5.5
5.6

5.7

5.6.1
5.6.2

5.7.1
5.7.2
5.7.3

5.4.1
5.4.2
5.4.3
5.4.4

VULNERABILIDAD DE ACCESO A FICHEROS Y ROBO DE INFORMACIÓN EN

5.1.1
ANDROID ............................................................................................................................................... 17
5.1.2
ACTUALIZACIÓN MANUAL DE ANDROID ..................................................................... 18
5.2 MODELO Y ARQUITECTURA DE SEGURIDAD DE ANDROID ............................................ 20
GESTIÓN EMPRESARIAL DE DISPOSITIVOS BASADOS EN ANDROID ............................ 25
5.3
ACCESO FÍSICO AL DISPOSITIVO MÓVIL ............................................................................. 28
5.4
PIN DE LA TARJETA SIM .................................................................................................... 28
PIN, CONTRASEÑA O PATRÓN DE ACCESO AL DISPOSITIVO MÓVIL .................... 30
DESBLOQUEO DE ANDROID MEDIANTE SCREEN LOCK BYPASS ........................... 37
RESTAURACIÓN DE LA CONTRASEÑA DE ACCESO ................................................... 39
PANTALLA DE DESBLOQUEO: PREVISUALIZACIÓN DE DATOS ..................................... 40
CIFRADO DE DATOS EN ANDROID ......................................................................................... 42
CIFRADO DEL DISPOSITIVO MÓVIL ................................................................................ 42
CIFRADO DE LAS TARJETAS DE ALMACENAMIENTO EXTERNAS ......................... 43
GESTIÓN DE CERTIFICADOS DIGITALES Y CREDENCIALES EN ANDROID .................. 43
CERTIFICADOS DIGITALES Y CREDENCIALES DEL USUARIO ................................. 43
CERTIFICADOS DIGITALES RAÍZ DE ANDROID ........................................................... 47
FIRMA DIGITAL DE APLICACIONES EN ANDROID ...................................................... 48
ELIMINACIÓN DE DATOS DEL DISPOSITIVO MÓVIL ......................................................... 49
5.8
5.9
CONFIGURACIÓN POR DEFECTO DEL DISPOSITIVO MÓVIL ............................................ 51
5.10 LOCALIZACIÓN GEOGRÁFICA ................................................................................................ 53
SERVICIO DE LOCALIZACIÓN DE GOOGLE Y GOOGLE MAPS ................................. 54
5.10.1
5.10.2 A-GPS ...................................................................................................................................... 56
5.10.3 GPSONEXTRA ....................................................................................................................... 57
5.10.4 OTRAS APLICACIONES QUE HACEN USO DE LA LOCALIZACIÓN........................... 58
5.10.4.1 GOOGLE MAPS NAVIGATION .................................................................................................... 58
5.10.4.2 GOGGLES ........................................................................................................................................ 58
5.10.4.3 NOTICIAS Y TIEMPO .................................................................................................................... 59
5.10.4.4 BUSCADOR DE GOOGLE ............................................................................................................. 61
5.10.4.5 REDES SOCIALES .......................................................................................................................... 63
5.10.4.6 NAVEGADOR WEB ....................................................................................................................... 65
INFORMACIÓN GEOGRÁFICA EN FOTOGRAFÍAS ........................................................ 68
5.11 COMUNICACIONES USB ............................................................................................................ 68
5.11.1 ALMACENAMIENTO USB ................................................................................................... 69
5.11.2 CONEXIÓNDE RED USB (TETHERING) ............................................................................. 70
5.12 COMUNICACIONES BLUETOOTH ............................................................................................ 72
5.12.1 DESACTIVACIÓN DE LAS COMUNICACIONES BLUETOOTH .................................... 72
5.12.2 CONFIGURACIÓN GENERAL DE BLUETOOTH .............................................................. 74
5.12.3 DISPOSITIVOS BLUETOOTH EMPAREJADOS ................................................................ 76
5.12.4 CONFIGURACIÓN AVANZADA DE BLUETOOTH