SeguridadAndroidAospina
Páginas: 5 (1030 palabras)
Publicado: 14 de agosto de 2015
Diseño de aplicaciones móviles
seguras en Android
alvaro.ospina@upb.edu.co
aospina@gmail.com
Agenda
●
Que es Android? Historia?
●
Arquitectura
●
Herramientas
●
Medidas de seguridad
¿Que es Android?
●
●
●
Pila de software pensada inicialmente para
teléfonos móviles (smartphones) que incluye
un sistema operativo, middleware y una capa
aplicaciones.
Basado en el kernel de Linux, poresa razón
tiene inmersas las características de ser libre,
gratuito y multiplataforma.
Android utiliza una variación del lenguaje de
programación Java (VM Dalvik)
Orígenes y algo de historia
●
●
2005: Google compra a una empresa llamada
Android Inc.
2007: Primeras versiones en dispositivos
móviles.
●
2010 Primer malware para Android
●
2012: Sept 23: 4 años desde Android 1.0
Y como estáahora!!
Arquitectura de Android
Arquitectura de Android
●
●
●
Cada aplicación se ejecuta en su propia máquina
virtual aislada del resto.
Esto asegura (por omisión) que una aplicación no
puede acceder a los recursos de otra, a menos que
el terminal este “rooteado”
Al contrario que en JVM, la seguridad no se basa en
las máquinas virtuales, sino en el propio sistema
operativo: (evita ataque poroverflowing)
–
Control de acceso
–
Aislamiento
–
Seguridad basada en permisos.
Control de acceso
●
●
●
La versión 2.x proporciona opciones rudimentarias de la
configuración de la contraseña:
–
Fortaleza de la contraseña
–
Tiempo tras bloquear el dispositivo
La versión 3.x introduce el concepto de caducidad de contraseña
y la posibilidad de cifrar los datos en la tarjeta y borrarlostras un
número determinado de intentos fallidos de acceso.
La versión 4.x añade:
–
Permite cifrado completo del dispositivo
–
Reconocimiento facial para desbloquear la terminal
–
Más control sobre la transmisión de datos en aplicaciones en segundo
plano.
Aislamiento
●
●
●
Este método aísla las aplicaciones entre sí y también
evita que puedan modificar el kernel.
La política por defectoprohíbe el acceso a
prácticamente cualquier subsistema del dispositivo,
aunque las aplicaciones puedan:
–
Leer la lista de aplicaciones
–
Leer datos en memoria flash
–
Ejecutar otras aplicaciones
Las aplicaciones pueden solicitar permisos adicionales
Seguridad basada en permisos
●
●
●
Por defecto, la mayoría de las
aplicaciones Android tienen muy
pocos permisos
Cada aplicación incluye unalista de
los permisos que necesita y que se
presentan al usuario en “lenguaje no
técnico” en el momento de la
instalación. Si el usuario no acepta,
no se instala la aplicación, no hay
opción de elegir los permisos.
En último termino es el usuario el
que decide.
Procedencia de las aplicaciones
●
●
●
●
En Android todas las aplicaciones tienen que
estar firmadas digitalmente.
Losdesarrolladores pueden generar sus propios
certificados.
Para distribuirlas en Google Play el desarrollador
debe pagar US$25 con su tarjeta de crédito.
El atacante puede descargar una aplicación
legítima, empaquetarla de nuevo con un troyano
y volverla a firmar para distribuirla.
Google Bouncer
En febrero de 2012,
Google
incluyó
en
Google
Play
su
herramienta
de
eliminación de malware
automatizada:
–
GoogleBouncer
Como es una aplicación (apk)
●
Es un archivo .zip
●
Usado para empaquetar aplicaciones
●
Todo apk incluye:
–
Classes.dex (código compilado)
–
Resourses.asc
–
./res
–
./META_INF
–
.AndroidManifest.xml
Formato del Classes.dex
●
●
Es el archivo que se ejecuta en la máquina
virtual de Dalvik
Optimizado para el mínimo consumo de
memoria y el diseño esta condicionado por lareutilización de datos.
Formato AndroidManifest.xml
●
●
●
●
Toda aplicación lo tiene, en el raíz del proyecto.
Contiene información esencial necesaria sobre el
sistema Android antes de poder ejecutar cualquier
línea de código. (sin él la aplicación no funciona)
Define los permisos de ejecución (acceso a internet, a
la cámara, etc)
Declara los componentes de nuestra aplicación
(Activity,...
seguras en Android
alvaro.ospina@upb.edu.co
aospina@gmail.com
Agenda
●
Que es Android? Historia?
●
Arquitectura
●
Herramientas
●
Medidas de seguridad
¿Que es Android?
●
●
●
Pila de software pensada inicialmente para
teléfonos móviles (smartphones) que incluye
un sistema operativo, middleware y una capa
aplicaciones.
Basado en el kernel de Linux, poresa razón
tiene inmersas las características de ser libre,
gratuito y multiplataforma.
Android utiliza una variación del lenguaje de
programación Java (VM Dalvik)
Orígenes y algo de historia
●
●
2005: Google compra a una empresa llamada
Android Inc.
2007: Primeras versiones en dispositivos
móviles.
●
2010 Primer malware para Android
●
2012: Sept 23: 4 años desde Android 1.0
Y como estáahora!!
Arquitectura de Android
Arquitectura de Android
●
●
●
Cada aplicación se ejecuta en su propia máquina
virtual aislada del resto.
Esto asegura (por omisión) que una aplicación no
puede acceder a los recursos de otra, a menos que
el terminal este “rooteado”
Al contrario que en JVM, la seguridad no se basa en
las máquinas virtuales, sino en el propio sistema
operativo: (evita ataque poroverflowing)
–
Control de acceso
–
Aislamiento
–
Seguridad basada en permisos.
Control de acceso
●
●
●
La versión 2.x proporciona opciones rudimentarias de la
configuración de la contraseña:
–
Fortaleza de la contraseña
–
Tiempo tras bloquear el dispositivo
La versión 3.x introduce el concepto de caducidad de contraseña
y la posibilidad de cifrar los datos en la tarjeta y borrarlostras un
número determinado de intentos fallidos de acceso.
La versión 4.x añade:
–
Permite cifrado completo del dispositivo
–
Reconocimiento facial para desbloquear la terminal
–
Más control sobre la transmisión de datos en aplicaciones en segundo
plano.
Aislamiento
●
●
●
Este método aísla las aplicaciones entre sí y también
evita que puedan modificar el kernel.
La política por defectoprohíbe el acceso a
prácticamente cualquier subsistema del dispositivo,
aunque las aplicaciones puedan:
–
Leer la lista de aplicaciones
–
Leer datos en memoria flash
–
Ejecutar otras aplicaciones
Las aplicaciones pueden solicitar permisos adicionales
Seguridad basada en permisos
●
●
●
Por defecto, la mayoría de las
aplicaciones Android tienen muy
pocos permisos
Cada aplicación incluye unalista de
los permisos que necesita y que se
presentan al usuario en “lenguaje no
técnico” en el momento de la
instalación. Si el usuario no acepta,
no se instala la aplicación, no hay
opción de elegir los permisos.
En último termino es el usuario el
que decide.
Procedencia de las aplicaciones
●
●
●
●
En Android todas las aplicaciones tienen que
estar firmadas digitalmente.
Losdesarrolladores pueden generar sus propios
certificados.
Para distribuirlas en Google Play el desarrollador
debe pagar US$25 con su tarjeta de crédito.
El atacante puede descargar una aplicación
legítima, empaquetarla de nuevo con un troyano
y volverla a firmar para distribuirla.
Google Bouncer
En febrero de 2012,
incluyó
en
Play
su
herramienta
de
eliminación de malware
automatizada:
–
GoogleBouncer
Como es una aplicación (apk)
●
Es un archivo .zip
●
Usado para empaquetar aplicaciones
●
Todo apk incluye:
–
Classes.dex (código compilado)
–
Resourses.asc
–
./res
–
./META_INF
–
.AndroidManifest.xml
Formato del Classes.dex
●
●
Es el archivo que se ejecuta en la máquina
virtual de Dalvik
Optimizado para el mínimo consumo de
memoria y el diseño esta condicionado por lareutilización de datos.
Formato AndroidManifest.xml
●
●
●
●
Toda aplicación lo tiene, en el raíz del proyecto.
Contiene información esencial necesaria sobre el
sistema Android antes de poder ejecutar cualquier
línea de código. (sin él la aplicación no funciona)
Define los permisos de ejecución (acceso a internet, a
la cámara, etc)
Declara los componentes de nuestra aplicación
(Activity,...
Leer documento completo
Regístrate para leer el documento completo.