PDF de programación - Seguridad en Dispositivos Móviles

Seguridad en
dispositivos
móviles


Marc Domingo Prieto

PID_00178751

CC-BY-SA • PID_00178751

Seguridad en dispositivos móviles

Los textos e imágenes publicados en esta obra están sujetos –excepto que se indique lo contrario– a una licencia de
Reconocimiento-Compartir igual (BY-SA) v.3.0 España de Creative Commons. Se puede modificar la obra, reproducirla, distribuirla
o comunicarla públicamente siempre que se cite el autor y la fuente (FUOC. Fundació per a la Universitat Oberta de Catalunya), y
siempre que la obra derivada quede sujeta a la misma licencia que el material original. La licencia completa se puede consultar en:
http://creativecommons.org/licenses/by-sa/3.0/es/legalcode.ca

CC-BY-SA • PID_00178751

Índice

Seguridad en dispositivos móviles


Introducción...............................................................................................

Objetivos.......................................................................................................

1. La problemática de la seguridad...................................................
1.1. Conceptos básicos de seguridad .................................................
1.2. Capas de seguridad en dispositivos móviles ...............................


2. Comunicaciones inalámbricas........................................................
2.1. Ataques ........................................................................................
2.2. Mecanismos de prevención ........................................................
2.3. Caso de estudio: IEEE 802.11 .....................................................


3. Sistema operativo...............................................................................
3.1. Ataques ........................................................................................
3.2. Mecanismos de prevención ........................................................
3.2.1.
Privilegios de usuarios ...................................................
3.2.2. Aislamiento de procesos ................................................
3.2.3. Actualizaciones ..............................................................
3.3. Caso de estudio: ssh en iOS ........................................................


4. Aplicaciones.........................................................................................
4.1. Ataques ........................................................................................
4.1.1. Ataques al software: malware..........................................
4.1.2. Ataques en la web .........................................................
4.2. Mecanismos de prevención ........................................................
4.2.1. Mercado de aplicaciones ................................................
4.2.2. Navegador web ..............................................................
4.2.3. Aplicaciones de seguridad .............................................
4.3. Caso de estudio: ZEUS man in the mobile.....................................


5. Usuario..................................................................................................
5.1. Ataques ........................................................................................
5.2. Mecanismos de prevención ........................................................
Sustracción momentánea ..............................................
Sustracción indefinida ...................................................
5.3. Caso de estudio: WaveSecure ......................................................

5.2.1.
5.2.2.


6. Prácticas de seguridad......................................................................

Bibliografía.................................................................................................

5

6

7
7
8

10
10
12
14

18
19
20
20
21
22
23

24
24
25
27
29
29
31
32
35

37
37
38
38
39
40

42

45

CC-BY-SA • PID_00178751

Introducción

5

Seguridad en dispositivos móviles

La seguridad en dispositivos móviles se ha convertido en un asunto muy im-
portante debido al incremento de "ataques" recibidos y a las consecuencias
que estos tienen. Los ataques vienen incentivados por la popularización de los
dispositivos móviles, el aumento de información personal y confidencial que
almacenan y las operaciones realizadas a través de ellos, como por ejemplo
las bancarias.

Ataque

El ataque es un método me-
diante el cual un individuo in-
tenta tomar el control, deses-
tabilizar o dañar un dispositivo
móvil.

Los dispositivos móviles están formados por un conjunto de componentes de
hardware capaces de soportar una gran variedad de tecnologías inalámbricas
(GSM, UMTS, Wifi, Bluetooth, etc.), donde destaca uno o varios procesadores
de altas prestaciones que permiten ejecutar un sistema operativo muy com-
plejo y un gran número de aplicaciones que requieren una gran capacidad de
cálculo. Todo ello incrementa significativamente las distintas vulnerabilidades
a las que están expuestos este tipo de dispositivos.

Un hardware más potente implica que pueden ser tratados más datos (nor-
malmente personales), tanto los que se almacenan en la memoria de los dis-
positivos móviles como los que se reciben por los diferentes sensores que estos
incorporan. Además, el hecho de soportar una gran variedad de tecnologías
inalámbricas abre más vías de ataque.

Una mayor complejidad del sistema operativo también puede aumentar la
vulnerabilidad de los dispositivos móviles. Cuando los sistemas crecen es más
fácil que se produzca algún error en el software. Además, su peligrosidad au-
menta debido a que todavía no somos conscientes de estos posibles problemas
de seguridad.

error

En inglés, bug.

Este módulo no pretende ser un manual de seguridad ni recoger todos los
riesgos existentes, sino introducir los conceptos y principios de seguridad en
los dispositivos móviles. Este material ha de servir para que nos familiaricemos
con los riesgos en los que están inmersos los dispositivos móviles, así como con
las medidas de seguridad aplicables con el fin de reducir los daños causados
por un ataque.

Empezaremos el módulo viendo algunos conceptos básicos de seguridad e
identificando las diferentes capas donde los dispositivos móviles pueden im-
plementar seguridad: comunicaciones inalámbricas, sistema operativo, apli-
cación y usuario. Posteriormente, analizaremos la seguridad en cada una de
estas capas.

CC-BY-SA • PID_00178751

Objetivos

6

Seguridad en dispositivos móviles

Con el estudio de este módulo se pretende que el estudiante alcance los obje-
tivos siguientes:

1. Entender los conceptos básicos de seguridad.

2. Ver las medidas de seguridad que se utilizan en las tecnologías de comu-

nicaciones inalámbricas utilizadas en los dispositivos móviles.

3. Conocer las medidas de seguridad que se aplican en el sistema operativo.

4. Revisar los riesgos que presentan algunas aplicaciones.

5. Comprender las consecuencias de una pérdida o robo de un dispositivo

móvil y conocer los mecanismos para limitar sus efectos.

6. Saber cuáles son las prácticas de seguridad recomendadas cuando se utiliza

un dispositivo móvil.

CC-BY-SA • PID_00178751

7

Seguridad en dispositivos móviles

1. La problemática de la seguridad

1.1. Conceptos básicos de seguridad

Cuando hablamos de seguridad, existe una nomenclatura imprescindible para
identificar el grado de protección que estamos utilizando. Si tomamos como
ejemplo los diferentes pasos que se efectúan durante una llamada telefónica
sobre una red inalámbrica, podemos identificar los cuatro conceptos clave de
seguridad de la información:

• Confidencialidad: ha de ser posible que nadie pueda captar nuestra lla-

mada y enterarse de lo que decimos.

• Autenticación: solo los usuarios con un teléfono de la red, es decir, perte-

necientes a la compañía, pueden utilizar la red.

•

Integridad: es necesario que la información, de voz o datos, que viaje por
la red inalámbrica no se pueda alterar sin que se detecte.

• No￿repudio: debe ser imposible que un usuario que ha utilizado la red
pueda negarlo; es decir, se debe garantizar que haya pruebas que demues-
tren que un usuario ha hecho una determinada llamada.

De manera más genérica, y al mismo tiempo formal, podemos definir estos
conceptos del modo siguiente:

La confidencialidad es la propiedad que asegura que solo los que están
autorizados tendrán acceso a la información. Esta propiedad también
se conoce como privacidad.

La integridad es la propiedad que asegura la no alteración de la infor-
mación. Por alteración entendemos cualquier acción de inserción, bo-
rrado o sustitución de la información.

La autenticación es la propiedad que hace referencia a la identificación.
Es el nexo de unión entre la información y su emisor.

El no￿repudio es la propiedad que asegura que ninguna parte pueda
negar ningún compromiso o acción realizados anteriormente.

Privacidad

El término privacidad es la tra-
ducción de la palabra inglesa
privacy. Para el mismo concep-
to en inglés también se utiliza
la palabra secrecy.

CC-BY-SA • PID_00178751

8

Seguridad en dispositivos móviles

Hay que destacar que la propiedad de autenticación es quizá la más importante
de las que acabamos de mencionar, ya que sirve de poco conseguir confiden-
cialidad e integridad si resulta que el receptor de la información no es quien
nosotros pensamos.

Estos cuatro conceptos básicos de seguridad de la información que acabamos
de definir son la base de la totalidad de los requisitos de seguridad que se
pueden necesitar, tanto si se trata de comunicaciones inalámbricas como de
información en general.

1.2. Capas de seguridad en dispositivos móviles

Para poder entender la importancia de la seguridad en los dispositivos móviles
hay que conocer las capacidades de estos dispositivos y cómo se ha llegado
a ellas. Principalmente, los dispositivos móviles han vivido una importante
revolución en cuanto a las aplicaciones que