PDF de programación - Seguridad de dispositivos móviles Android 4.x

SIN CLASIFICAR

























GUÍA DE SEGURIDAD DE LAS TIC

(CCN-STIC-453B)



SEGURIDAD DE DISPOSITIVOS MÓVILES:

ANDROID 4.x






















ABRIL 2015

SIN CLASIFICAR

CCN-STIC-453B



Seguridad de dispositivos móviles: Android 4.x

SIN CLASIFICAR




























Edita:




 Centro Criptológico Nacional, 2015
NIPO 002-15-006-1

Fecha de Edición: abril de 2015
Raúl Siles (DinoSec) ha participado en la elaboración y modificación del presente documento y sus anexos.

LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.

AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante
alquiler o préstamo públicos.




Centro Criptológico Nacional





SIN CLASIFICAR

2

CCN-STIC-453B



Seguridad de dispositivos móviles: Android 4.x

SIN CLASIFICAR

PRÓLOGO





Entre los elementos más característicos del actual escenario nacional e internacional figura el
desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC), así
como los riesgos emergentes asociados a su utilización. La Administración no es ajena a este
escenario, y el desarrollo, adquisición, conservación y utilización segura de las TIC por parte
de la Administración es necesario para garantizar su funcionamiento eficaz al servicio del
ciudadano y de los intereses nacionales.

Partiendo del conocimiento y la experiencia del Centro sobre amenazas y vulnerabilidades en
materia de riesgos emergentes, la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional
de Inteligencia, encomienda al Centro Nacional de Inteligencia el ejercicio de las funciones
relativas a la seguridad de las tecnologías de la información en su artículo 4.e), y de protección
de la información clasificada en su artículo 4.f), a la vez que confiere a su Secretario de Estado
Director la responsabilidad de dirigir el Centro Criptológico Nacional en su artículo 9.2.f).

Una de las funciones más destacables que, asigna al mismo, el Real Decreto 421/2004, de 12
de marzo, por el que se regula el Centro Criptológico Nacional es la de elaborar y difundir
normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de
las tecnologías de la información y las comunicaciones de la Administración.

La ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios
públicos, en su artículo 42.2 crea del Esquema Nacional de Seguridad (ENS), que establece
las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de
medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los
servicios electrónicos.

El Real Decreto 3/2010 de 8 de Enero desarrolla el Esquema Nacional de Seguridad y fija los
principios básicos y requisitos mínimos así como las medidas de protección a implantar en los
sistemas de la Administración. En su artículo 29 se autoriza que a través de la series CCN-
STIC el CCN desarrolle lo establecido en el mismo.

La serie de documentos CCN-STIC se ha elaborado para dar cumplimiento a esta función y a
lo reflejado en el ENS, conscientes de la importancia que tiene el establecimiento de un marco
de referencia en esta materia que sirva de apoyo para que el personal de la Administración
lleve a cabo su difícil, y en ocasiones, ingrata tarea de proporcionar seguridad a los sistemas de
las TIC bajo su responsabilidad.


Abril 2015







Félix Sanz Roldán
Secretario de Estado

Director del Centro Criptológico Nacional



Centro Criptológico Nacional





SIN CLASIFICAR

3

CCN-STIC-453B



Seguridad de dispositivos móviles: Android 4.x

SIN CLASIFICAR




ÍNDICE

5.3
5.4

5.1.1
5.1.2
5.1.3


1.
INTRODUCCIÓN .............................................................................................................. 7
2. OBJETO .............................................................................................................................. 7
ALCANCE ........................................................................................................................... 8
3.
ENTORNO DE APLICACIÓN DE ESTA GUÍA............................................................ 8
4.
5.
CONFIGURACIÓN DE SEGURIDAD DE ANDROID ............................................... 19
ACTUALIZACIÓN DEL SISTEMA OPERATIVO: ANDROID ................................................. 19
5.1
SERVICIOS DE GOOGLE PLAY .......................................................................................... 27
ACTUALIZACIÓN MANUAL COMPLETA DE ANDROID .............................................. 28
ACTUALIZACIÓN MANUAL PARCIAL DE ANDROID ................................................... 32
5.2 MODELO Y ARQUITECTURA DE SEGURIDAD DE ANDROID ............................................ 36
5.2.1 MODELO DE PERMISOS DE ANDROID ............................................................................ 37
PERMISOS SIMPLIFICADOS Y GRUPOS DE PERMISOS DE GOOGLE PLAY ............ 42
5.2.2
5.2.3
SANDBOX DE EJECUCIÓN DE LAS APPS ........................................................................ 44
FIRMA DIGITAL DE APPS EN ANDROID ......................................................................... 46
5.2.4
SELINUX EN ANDROID ....................................................................................................... 47
5.2.5
APP OPS .................................................................................................................................. 47
5.2.6
GESTIÓN EMPRESARIAL DE DISPOSITIVOS MÓVILES BASADOS EN ANDROID ......... 49
ACCESO FÍSICO AL DISPOSITIVO MÓVIL ............................................................................. 60
PIN DE LA TARJETA SIM .................................................................................................... 60
5.4.1
CÓDIGO DE ACCESO AL DISPOSITIVO MÓVIL ............................................................. 63
5.4.2
ACTIVACIÓN DE LA PANTALLA DE DESBLOQUEO .................................................... 74
5.4.3
PANTALLA DE DESBLOQUEO: PREVISUALIZACIÓN DE DATOS .............................. 76
5.4.4
PANTALLA DE DESBLOQUEO: APAGAR EL DISPOSITIVO MÓVIL ........................... 77
5.4.5
PANTALLA DE DESBLOQUEO: WIDGETS ....................................................................... 78
5.4.6
PANTALLA DE DESBLOQUEO: CÁMARA ....................................................................... 82
5.4.7
PANTALLA DE DESBLOQUEO: INFORMACIÓN DEL PROPIETARIO ......................... 83
5.4.8
5.4.9
PRECAUCIONES Y RECOMENDACIONES ADICIONALES ........................................... 84
5.4.10 DESBLOQUEO MEDIANTE LA CUENTA DE USUARIO DE GOOGLE ......................... 85
5.4.11 DESBLOQUEO MEDIANTE SCREEN LOCK BYPASS ..................................................... 86
5.4.12 RESTAURACIÓN DEL CÓDIGO DE ACCESO .................................................................. 87
5.5 MÚLTIPLES PERFILES DE USUARIO ....................................................................................... 88
5.6
CIFRADO DE DATOS EN ANDROID ......................................................................................... 92
CIFRADO DEL DISPOSITIVO MÓVIL ................................................................................ 92
CIFRADO DE LAS TARJETAS DE ALMACENAMIENTO EXTERNAS ......................... 97
GESTIÓN DE CERTIFICADOS DIGITALES Y CREDENCIALES EN ANDROID .................. 99
ALMACENAMIENTO DE CREDENCIALES ...................................................................... 99
CERTIFICADOS DIGITALES DE SISTEMA Y DE USUARIO ........................................ 101
AÑADIENDO CERTIFICADOS DIGITALES .................................................................... 107
5.7.3.1 AÑADIENDO CERTIFICADOS DIGITALES RAÍZ ................................................................... 107
5.7.3.2 AÑADIENDO CERTIFICADOS DIGITALES CLIENTE ............................................................ 113
ELIMINACIÓN DE DATOS DEL DISPOSITIVO MÓVIL ....................................................... 117
5.8
5.9
CONFIGURACIÓN POR DEFECTO DEL DISPOSITIVO MÓVIL .......................................... 119
5.10 LOCALIZACIÓN (O UBICACIÓN) GEOGRÁFICA ................................................................. 121
5.10.1
SERVICIOS DE UBICACIÓN DE GOOGLE ...................................................................... 126
5.10.2 GOOGLE MAPS ................................................................................................................... 127
5.10.3 A-GPS .................................................................................................................................... 129

5.7.1
5.7.2
5.7.3

5.6.1
5.6.2

5.7

Centro Criptológico Nacional





SIN CLASIFICAR

4

CCN-STIC-453B



Seguridad de dispositivos móviles: Android 4.x

SIN CLASIFICAR

5.10.7

5.10.4 GP