Seguridad en dispositivos móviles

Seguridad en dispositivos móviles

CFIE SALAMANCA – MARCO A. LOZANO

FEBRERO 2015

2

▪ Aspectos básicos de seguridad y usos inadecuados.

▪ Ataques a los dispositivos móviles.

▪ Diferentes tipos de conexiones inalámbricas y su

configuración.

▪ Principales funcionalidades de los sistemas

operativos móviles más implantados.

▪ Utilidad y riesgos de la geolocalización.

Índice

3

▪ Procedimientos y recomendaciones básicas de

seguridad.

▪ Configuración WiFi y protección frente a

conexiones inalámbricas públicas.

▪ BYOD.

Índice

4

1. La seguridad en el dispositivo y en las memorias

extraíbles.

2. Seguridad física ante el:

▪ Robo

▪ Pérdida

▪ Deterioro

Aspectos básicos de seguridad

5

3. Seguridad lógica:

▪ Uso indebido de comunicaciones

▪ Acceso al contenido por terceros

▪ Aplicaciones maliciosas

▪ Pagos con el móvil

▪ Infección del dispositivo por malware

4. ¿Qué hacen las aplicaciones maliciosas?

▪ Objetivos de la aplicación

Aspectos básicos de seguridad y usos inadecuados

6


▪ ¿Cómo lo hacen?

▪ Ejemplos

▪ Otros ejemplos

▪ Informe

▪ ¿Cómo protegernos?

5. Usos inadecuados del dispositivo


7


extraíbles.

▪ Tanto el dispositivo como la memoria extraíble presente en algunos

Android es susceptible de robo o deterioro.


8


extraíbles.

▪ Si el dispositivo o la memoria extraíble contiene información sensible

es conveniente cifrar ambos elementos

▪ En caso de hurto o pérdida la información almacenada si está cifrada

será inaccesible.

▪ Si un dispositivo o memoria es sustraído y sus datos no están cifrados

toda la información puede ser accesible por un tercero.


9

2. Seguridad física

▪ Debido a su tamaño, su movilidad y su precio, los teléfonos móviles

son dispositivos que se pierden o son robados con relativa

frecuencia.


10


▪ El robo o pérdida del dispositivo pueden producir pérdida de

confidencialidad.

▪ La pérdida de confidencialidad puede afectar muy negativamente al

propietario. (The fappened, CellebGate, etc.)

▪ Los datos pueden hacerse públicos o utilizados para extorsionar a su

propietario.

▪ Si el dispositivo es corporativo la imagen de la empresa puede verse

dañada, lo que deriva en pérdidas económicas.


11


▪ Dispositivos y memorias externas con el tiempo y el uso se deterioran.

▪ El deterioro puede ser tan severo que inhabilite las funcionalidades

del dispositivo.


▪ La pérdida de funcionalidad puede ser

inmediata y sin previo aviso lo que puede

suponer un serio problema para su

propietario.

▪ La información almacenada puede ser

irrecuperable.

12

3. Seguridad lógica

▪ Evitar facilitar información confidencial en comunicaciones no seguras

(voz, SMS, Redes sociales, mensajería instantánea, …).

▪ Una comunicación que no esté cifrada si es interceptada será

accesible por el atacante. PoC WireShark y Joomla!

▪ Si se envía información confidencial por email revisar el destinatario

ya que la funcionalidad de autocompletar puede llevar a errores.


13


▪ Precaución al realizar pagos con dispositivos móviles y las distintas

tecnologías que los hacen posible:

□ Desactivar la conexión NFC cuando no se vaya a realizar ninguna

transacción con el dispositivo móvil. PoC


14


□ Si se usa como monedero virtual

tener especial cuidado con quien

accede al Smartphone.

□ Por norma general cualquier

tecnología que permita la transmisión

de información de manera

inalámbrica es recomendable que

este únicamente activa cuando se

utilice.


15


▪ Precaución a la hora de instalar aplicaciones (PoC):

□ Evitar instalar aplicaciones de los repositorios no oficiales.

□ Evitar instalar aplicaciones con pocas descargas.

□ Evitar instalar aplicaciones que solicitan permisos excesivos.

□ Evitar instalar aplicaciones cuya valoración por parte de los

usuarios sea negativa.

□ Evitar instalar aplicaciones cuyos comentarios

sean negativos.


16


▪ Establecer un código PIN a la SIM distinto al original y guardar en un

lugar seguro el código PUK.

▪ Activar la opción de bloqueo automático del dispositivo. Por ejemplo

que el Smartphone se bloquee si esta inactivo durante 1 minuto.

▪ Bloquear el dispositivo mediante contraseña, patrón, huella … PoC

descubrir patrón

▪ No tener privilegios de administrador (rootear o Jailbreak) PoC shell.

▪ En Android no activar la opción de depuración USB en las opciones de

desarrollador PoC.


17


▪ En Android no permitir la instalación de aplicaciones de origen

desconocidos.

▪ Instalar alguna app antivirus y herramientas de seguridad. (Poc Avast

& Conan)

▪ Cifrar los datos del

dispositivo - PoC.


18


▪ Instalar y activar alguna app de rastreo, bloqueo y borrado remoto por

si el dispositivo es perdido o robado.

▪ Instalar aplicaciones solo de los repositorios oficiales.

▪ Mantener el sistema operativo actualizado.

▪ Actualizar las aplicaciones a la última versión.


19


▪ Realizar copias de seguridad periódicamente. PoC BackUp

▪ No abrir correos electrónicos ni archivos adjuntos de remitentes

desconocidos. PoC

▪ No abrir archivos o enlaces de personas desconocidas enviados por

cualquier aplicación de mensajería instantánea. PoC

▪ No continúe los bulos en aplicaciones de mensajería instantánea

reenviándoselo a toda su agenda.



▪ Suscripción a servicios de tarificación especial «SMS Premium».

▪ Seguimiento de las ubicaciones del dispositivo y grabación del audio o

video para monitorizar al usuario. PoC Cerberus

▪ Monitorización de SMS provenientes de servicios bancarios.

▪ Robo de información personal como contactos, imágenes, vídeos.

20


21


▪ Secuestro del dispositivo móvil. PoC Virus Policía OSI

▪ Simulando ser aplicaciones de utilidad cuando realmente no tienen

ninguna, como los falsos antivirus.


22

¿Cómo lo hacen?


23

¿Cómo lo hacen?


24

¿Cómo lo hacen?


25

Ejemplos. Linterna HD (>5.000 descargas)


26

Ejemplos. VirusShield (>10.000 descargas)


27

Ejemplos. Escáner desnudo (>50.000 descargas)


28

Ejemplos. Activar llamadas Whatsapp (100,000

descargas)


29


¿Otros ejemplos?

▪ Android/PowerOffHijack.A. Troyano que toma el control del dispositivo

cuando el usuario cree que esta apagado.

▪ Android Star N9500. Malware de fábrica incrustado en el firmware del

terminal que conecta con un servidor anónimo localizado en China.

▪ Botnets – RAT

▪ Algunos Smartphones fabricados en China traen bootkits.


30

Informe (Situación del malware)


31

¿Cómo protegernos?

▪ Descargar apps de markets oficiales.

▪ Observar la procedencia de la aplicación. El nombre de

desarrolladores de aplicaciones populares es un buen indicador para

comprobar la legitimidad de la aplicación.


¿Cómo protegernos?

▪ Comprobar la puntuación (rating), así como los comentarios de los

usuarios, es otra fuente de información con la que podremos conocer

las experiencias de los usuarios a la hora de instalar y usar la

aplicación.

▪ Revisar los permisos solicitados por la aplicación.

▪ Usar software especializado (ConAn).

32



▪ En ocasiones, son los propios usuarios con su comportamiento los

que incrementan los riesgos producidos por los dispositivos móviles.

▪ Algunos comportamientos de riesgo:

□ Eliminar el código de bloqueo del dispositivo.

□ Utilizar el navegador para realizar algunas actividades que se

pueden realizar directamente a través de apps.

□ Activar la opción de ”Mantenerme conectado” en aplicaciones

sensibles.

33




□ Tener la activada la opción para conectarse automática a redes

inalámbricas públicas. PoC

□ Conectarse a redes abiertas en lugares públicos. PoC

□ No realizar un borrado seguro del dispositivo una vez se deja de

utilizar. PoC - Wipe

□ Descargarse aplicaciones de dudosa procedencia.

□ No borrar el historial del navegador regularmente.

34




□ Almacenar datos sensibles en el dispositivo sin la conveniente

protección.

□ No activar el sistema de borrado y bloqueo remoto. PoC

□ Activar la opción de orígenes desconocidos.

□ Navegar por sitios de dudosa credibilidad.

35


Ataques a dispositivos móviles

1. Ataques comunes

2. Android Cool Boot Attack

3. Acceso a la base de datos de Whatsapp

4. iPhone Passcode bypass

36


1. Ataques comunes

▪ Si el dispositivo está desbloqueado, el atacante lo único que debe

hacer es mantenerlo desbloqueado para robar y modificar toda la

información que quiera. (Unroot)

▪ Los ataques pueden ser utilizados para intentar acceder al

dispositivo completo o a la información de una aplicación en

concreto

▪ Observar sin que el propietario se de cuenta, el código de

desbloqueo o lo que está haciendo o dejar marcas en la pantalla.

PoC

37


2. Android Cold Boot Attack

▪ La memoria RAM de un dispositivo necesita de electricidad para su

persistencia. Cuando un dispositivo se apaga, la corriente eléctrica

deja de fluir por el circuito y los datos se pierden poco a poco. La

temperatura del dispositivo tiene un gran efecto sobre la velocidad

de borrado de la RAM. A menor temperatura más tiempo tarda en

borrarse

38


2. Android Cool Boot Attack

▪ Aplicado a Android:

□ Se introduce el teléfono bloqueado en un congelador durante 1

hora.

□ Una vez extraído, se enchufa a un equipo mediante una

conexión USB y se reinicia.

□ Antes de cargar el sistema operativo principal, mediante la

conexión USB se carga el un módulo de arranque que lee los

contenidos de la memoria RAM y permite extraer contraseñas y

cualquier otro dato almacenado en la memoria.

39


3. Acceso a la base de datos de Whatsapp - PoC

▪ El programa de mensajería Whatsapp guarda todas las

conversaciones en una base de datos cifrada dentro del dispositivo.

▪ La clave de cifrado se genera durante la primera ejecución de la

aplicación y se guarda como un parámetro del programa.

▪ Existen programas (para Android) que permiten la extracción de

esta información

▪ Se realiza una copia de seguridad del contenido de

la aplicación a un equipo conectado mediante USB

40


3. Acceso a la base de datos de Whatsapp

▪ La aplicación localiza la clave y descifra la base de datos de la

versión de whatsapp para ese dispositivo

▪ Dependiendo de la versión puede no funcionar o dejar inservible la

base de datos.

41



▪ Existen soluciones para realizar ataques de fuerza bruta sobre

dispositivos iOS

42



▪ Hardware (http://blog.mdsec.co.uk/2015/03/bruteforcing-ios-

screenlock.html)

▪ A través de la conexión USB se prueban todas las claves de 4 dígitos

▪ Un sensor de luz detecta si la clave introducida es correcta

▪ Si no lo es, se apaga el dispositivo rápidamente para que no se borre

automáticamente tras llegar al límite de intentos

43



▪ 40 segundos por clave, hasta 117 horas para probar todas las claves

▪ Software (http://www.iphonehacks.com/2015/03/iphone-

passcode-bypassed-bruteforce-tool.html)

▪ Solución similar, pero que funciona únicamente en dispositivos con

Jailbreak

▪ En este caso, necesita únicamente 5 segundos por clave

44

45

▪ Por norma general cualquier tecnología inalámbrica que permita

acceder al Smartphone es recomendable tenerla desactivada siempre

que no se use.

Conexiones inalámbricas y configuración

46

▪ Cualquier tecnología inalámbrica que sea capaz de transmitir y recibir

datos tiene que estar desactivada cuando no se use ya que así no será

vulnerable a ningún ataque.

▪ Configurar el Smartphone para que utilice exclusivamente cobertura

3G o 4G, la cobertura 2G es insegura.


47

▪ La cobertura 2G presenta una serie de ataques y vulnerabilidades

conocidos desde hace tiempo, esta tecnología permite a un atacante

interceptar la comunicación, geolocalizar al usuario o practicar una

denegación de servicio.


48

▪ Evitar todo lo posible el uso de redes WiFi públicas o cuyo acceso no

controlemos ya que no sabemos si alguien puede estar interceptando

nuestra información. PoC & MiTM PoC

▪ Si es inevitable el uso de una red WiFi pública evitar utilizar servicios

que requieran de información especialmente sensible como

información bancaria.


49

▪ No permitir que el Smartphone se conecte automáticamente a redes

públicas.

▪ Utilizar un software VPN si se pretende acceder a servicio con

información confidencial a través de una red pública.


50

▪ Tener desactivada la conexión Bluetooth siempre que no se use ya

que en algunas versiones es posible robar información confidencial e

incluso tomar el control del dispositivo.

▪ Tener por defecto el dispositivo oculto cuando la conexión por

Bluetooth está activa y hacerlo visible en el momento de usarlo.

▪ Tener desactivada la conexión por NFC siempre que no se esté

usando.


51

▪ Comprobar que existe algún sistema de validación (PIN, huella, etc)

para que la operación por Bluetooth o NFC sea realizada.

▪ Si no existe sistema de validación se puede ser víctima de robo de

información personal y bancaria. PoC NFC


52

1. Android

▪ Protección basada en permisos, evita que usuarios y aplicaciones

tengan control total del dispositivo. 6.0 Permite la edición.

▪ Impide que las aplicaciones accedan a contenido y recursos del

dispositivo a los que por motivos de seguridad y privacidad no tienen

que tener acceso.

▪ Impide que el usuario tenga control total del dispositivo

lo que puede llegar a ser peligroso.

Principales funcionalidades de los sistemas operativos móviles más implantados

53

1. Android

▪ Dispositivos rooteados:

□ Esta protección se rompe lo que puede hacer el dispositivo mas

vulnerable.

□ Tanto usuario como aplicaciones tienen control total sobre el

dispositivo lo que puede resultar peligroso.

□ Si una aplicación instalada es maliciosa podrá cualquier acción

para la que este diseñada sin que ningún permiso de Android

limite su funcionalidad.


54

2. iOS

▪ Férreo control (no infalible) sobre las aplicaciones alojadas en el

AppStore. Caso XCodeGhost

▪ La AppStore implementa medidas de seguridad que evitan en gran

medida las aplicaciones maliciosas. Hacen de Antivirus

▪ En dispositivos con JailBreak se puede instalar aplicaciones de

repositorios no oficiales.


55

▪ Acceso remoto. Permite acceder a otros dispositivos de forma segura.

□ Android:

– Escritorio remoto de Chrome

– Teamviewer

□ iOS:

– Microsoft Remote Desktop

– Screens VNC

Herramientas de protección

56

▪ Antirrobo. Permite obtener la ubicación del dispositivo, fecha de la

última conexión.

▪ Se puede hacer sonar, bloquear e incluso borrar todos los datos del

dispositivo.

□ Android:

– Administrador de dispositivos de Android

□ iOS:

– Find my iPhone


57

▪ Copias de seguridad. Permiten realizar un backUp de toda la

información del dispositivo y almacenarla en la nube. Tanto Android

como iOS implementan aplicaciones nativas para esta tarea.


58

▪ Cifrado. Cifra los datos del dispositivo, sin la clave de descifrado la

información es inaccesible. El cifrado es un proceso que hace el

dispositivo mas lento. Tanto Android como iOS implementan

aplicaciones nativas para esta tarea.

□ Android, dependiendo de la versión varía su ubicación:

– Ajustes -> Seguridad -> Cifrar teléfono

□ iOS:

– Ajustes –> General -> Código

– Una vez establecido el código, en la parte inferior de la pantalla

aparecerá "La protección de datos está activada".


59

▪ Control parental. El control parental permite restringir el uso del

dispositivo a las funcionalidades que desee el propietario. Tanto

Android como iOS cuentan con funcionalidades nativas para el control

parental.

□ Android. Desde la versión 4.2 se permite crear cuentas de usuario

con diferentes permisos. Esto permite crear una cuenta

independiente a la del administrador y aplicarle los permisos que

se crean oportunos al nuevo usuario.


60

▪ Control parental. PoC

□ Android. También existen aplicaciones de control parental que se

pueden encontrar en el playStore:

– Qustodio

– Kuukla

– El Control Parental


61

▪ Control parental.

□ iOS. Permite crear una cuenta diferente a la del administrador y

darle los permisos que se crea oportuno. Es posible inhabilitar el

acceso a apps, compras integradas, Siri …

– Ajustes -> General -> Restricciones -> Activar restricciones.


62

1. Qué es la geolocalización.

2. Formas de geolocalizar un dispositivo.

3. Riesgos que supone la geolocalización.

Utilidad y riesgos de la geolocalización

63

1. Qué es la geolocalización

▪ La geolocalización es la capacidad para obtener la ubicación

geográfica real de un objeto, en base a información que proviene de

varios orígenes.


64


▪ La geolocalización puede obtenerse de varias formas:

□ Triangulación de la señal de móvil, sobre las antenas de telefonía.

□ Chip GPS del dispositivo.

□ Red WiFi.

□ IP de la conexión. PoC

□ Mediante Bluetooth o puntos de acceso WiFi en centros

comerciales.


65


▪ Dehabilitar los metadatos en los dispositivos. PoC Foca

□ iOS: Ajustes->Privacidad-> Servicios de localización

□ Android: Ajustes -> Servicios de Configuración -> Ubicación y búsqueda. Para este

SO además es recomendable eliminar el historial de ubicación de Google

(maps.google.com/locatioknhistory) PoC


66

3. Riesgos que supone la geolocalización.

▪ La geolocalización puede suponer un riesgo si la información obtenida

se usa contra el usuario o sin su consentimiento.

▪ Riesgos:

□ Localizar a un dispositivo específico y su propietario en un

momento dado.

□ Estudio de rutinas y hábitos con los que realizar estudios de

mercado.

□ Llevar una trazabilidad de nuestras acciones en los centros

comerciales.


67

▪ Evitar siempre que sea posible este tipo de redes.

▪ Extremar las precauciones con las redes WiFi públicas.

▪ Una red WiFi publica y abierta podría ser sinónimo de problemas.

▪ Usar doble o triple factor de autenticación en los servicio

(Autenticathor) PoC

Configuración WiFi y protección frente a conexiones inalámbricas públicas

68

▪ Si se establece la conexión a una red pública evitar utilizar datos

personales mientras la conexión esté activa: PoC

□ No acceder a herramientas que requieran usuario y contraseña.

□ No compartir archivos en ningún servicio alojado en la nube.

□ No utilizar ningún tipo de credencial bancaria.

▪ Si es necesario acceder a información sensible usar una VPN.

▪ No tener activada la opción de conectarse automáticamente a la redes

publicas abiertas.

Configuración WiFi y protección frente a conexiones inalámbricas públicas

69

1. Ventajas.

2. Inconvenientes.

3. Bring Your Own Device BYOD.

BYOD

70

1. Ventajas.

▪ Los Smartphone y la conectividad constante a Internet han supuesto

una revolución en la forma de trabajar dentro de las organizaciones

y ahora también colegios.

▪ El Smartphone se ha convertido en una herramienta fundamental

para llevar a cabo tareas dentro de la organización.

▪ Allá donde haya un Smartphone con conexión a Internet, el usuario

tiene a su disposición una oficina móvil desde la que puede realizar

multitud de tareas como enviar emails, acceder apps de mensajería

instantánea y distintas herramientas que facilitan su trabajo.

BYOD

71

1. Ventajas.

▪ Permite la integración de forma sencilla de algunas plataformas ya

existentes en las organizaciones. De esta manera no es necesario

realizar acciones que puedan suponer riesgos para la organización

para realizar tareas desde el propio dispositivo móvil.

□ Microsoft Office Mobile permite sincronizar los documentos de

la organización a través de la misma plataforma utilizada por las

estaciones de trabajo (OneDrive). De esta manera no es

necesario extraer datos sensibles de la organización (USB o

correo personal)

BYOD

72

1. Ventajas.

▪ Los dispositivos móviles ya incluyen muchas características de

seguridad por defecto.

▪ Mecanismos de cifrado de disco por defecto

▪ El sistema operativo está diseñado para aislar unas aplicaciones de

otras. De esta manera, de forma general, si hay un problema de

seguridad en una aplicación, no afecta a las demás.

BYOD

73

2. Inconvenientes.

▪ Los smartphones suponen un nuevo vector de ataque para los

usuarios.

▪ Lo personal del dispositivo hace que en muchos casos, almacenen

credenciales de acceso. Por ello es necesario protegerlos

convenientemente.

▪ Existe una dualidad entre dispositivos que pertenecen a la

organización y los personales de los usuarios.

▪ Las políticas de Bring Your Own Device BYOD intentan suplir este

problema. ¿Están las escuelas preparadas?

BYOD

74

2. Inconvenientes.

▪ En el caso de que esté aprobado el uso del dispositivo personal en la

organización, hay veces que el acceso por parte de terceros de

confianza puede poner en riesgo la información de la organización.

▪ Envío de información sensible a través de cuentas de trabajo por

equivocación de miembros de la familia que utilizan el dispositivo

esporádicamente.

BYOD

75

3. BYOD.

▪ Conjunto de políticas que permiten a los empleados utilizar sus

dispositivos personales en actividades laborales.

▪ El uso del BYOD se debe a la dificultad de evitar que los empleados

utilicen sus dispositivos en el lugar de trabajo y al abaratamiento de

costes.

▪ En general es complicado implementar una política de BYOD efectiva

en la organización, pues las fronteras entre lo personal y laboral en

un dispositivo son complicadas de definir.

BYOD

76

3. BYOD.

▪ En los últimos años los proveedores han hecho un esfuerzo por

ofrecer soluciones en este ámbito:

□ Samsung Knox

– Dos contenedores de aplicaciones uno independiente del otro.

□ Android for Work

– Conjunto de apps exclusivas del mundo laboral pero limitadas a las de

Google.

□ Mobile Device Management

– Limita las aplicaciones y permite configuraciones automática pero siempre

contando con el consentimiento por parte del empleado.

BYOD

77

PREGUNTAS

78

MUCHAS GRACIAS

http://www.osi.eshttps://menores.osi.es

Seguridad en dispositivos móviles

Internet

Transcript of Seguridad en dispositivos móviles