Embed Size (px)
Citation preview
Análisis sobre la seguridad en sistemas
operativos móviles Android VS IOS
Sthefany Yisell Puentes Cubides
Seguridad Informática
Contenido• INTRODUCCIÓN• MARCO TEÓRICO• ANÁLISIS DE VULNERABILIDADES DE ANDROID• SOFTWARE MALICIOSO REGISTRADO PARA ANDROID 2012-2013
• ANÁLISIS DE VULNERABILIDADES DE APPLE IOS• SOFTWARE MALICIOSO REGISTRADO PARA APPLE IOS• EJECUCIÓN DE UNA DISTRIBUCIÓN LINUX PARA ANÁLISIS DE
VULNERABILIDADES• CONCLUSIONES• BIBLIOGRAFIA
INTRODUCCIÓN
ANÁLISIS DE VULNERABILIDADES DE ANDROID
ANÁLISIS DEL SISTEMA OPERATIVO ANDROID
Este sistema operativo fue creado para ejecutar aplicaciones en dispositivos móviles, está basado en Linux, Middleware y aplicaciones centrales. Para realizar un análisis de vulnerabilidades en este sistema operativo, es preciso identificar su arquitectura y las medidas de seguridad que implementa.
A continuación se muestra una ilustración de la arquitectura del sistema operativo Android.
Figura 1. Arquitectura del Sistema Operativo de AndroidEsta arquitectura es denominada arquitectura de pila en donde cada capa utiliza servicios ofrecidos por los anteriores y a su vez los suyos propios a las capas de niveles superiores.Tomada de: http://es.wikipedia.org/wiki/Android
Medidas de seguridad Android
Kernel
Entorno de desarrollo
Mecanismos de seguridad específicos
del framework
Redes del sistema
Medidas de seguridad Android-Kernel
Esta interfaz se encarga de asignar un User ID a cada
aplicación al momento de ser instalada, y las aplicaciones que tienen distintos User ID
por defecto, no pueden interactuar entre sí a menos que tengan privilegios para
hacerlo y tienen acceso limitado al sistema operativo, para compartir un User ID, las aplicaciones deberán declarar el valor sharedUserID y tener
la misma firma digital.
Para el caso de los archivos también existe algo similar, a cada archivo se le asocia un owner-user y group-ID y tres
tuplas de permisos de lectura, escritura y ejecución.
Esto es basado en el mecanismo de permisos de
sistemas Linux DAC (Discretionary Access
Control).
Las medidas de seguridad basadas en el kernel, se tipifican en dos
El POSIX: (Portable Operating System
Interface)
El acceso a archivos y almacenamiento
Medidas de seguridad Android-Kernel
Sólo el kernel y algunas aplicaciones core de Android corren con permisos root. Sin
embargo, el usuario puede modificar esta configuración.
Dentro del dispositivo el sistema utiliza encripción de tipo SHA256 O AES128 para prevenir el uso no autorizado de información almacenada.
Medidas de seguridad Android-basadas en el entorno de desarrollo
• Son de carácter “type-safe” en donde las variables tienen un formato específico que garantiza que no puedan ser usadas malintencionadamente para provocar daños en la memoria, esto debido a que las aplicaciones son desarrolladas en lenguaje Java y los datos que utiliza son definidos en tiempo de complicación
• Otra de las medidas que se basa en el entorno de desarrollo es el componente MMU (Memory Management Unit) que trabaja directamente con direcciones de memoria, en donde asigna distintos espacios de memoria a diferentes procesos, evitando que estos procesos sean leídos por otros procesos y pueda dañarse la memoria
• Este componente garantiza la disponibilidad y confidencialidad de los procesos ejecutados por el sistema.
Medidas de seguridad Android-basadas en las redes del sistema
Utiliza mecanismos de autenticación de pertenencia en donde la tarjeta
inteligente SIM card posee la información del usuario y del operador
Medidas de seguridad Android-Mecanismos de seguridad del framework
La firma digital, que se exige como requerimiento para todas las aplicaciones que se instalan. Al instalar una aplicación, el Package Manager verifica la validez del certificado y que la clave usada para firmar la aplicación coincida con la proporcionada en el certificado.
El MAC (Mandatory Access Control) se encarga de asignar los permisos de las aplicaciones que se instalan en el dispositivo, una vez que se asignen estos permisos, la aplicación no puede acceder a los permisos denegados ni intentar volverlos a pedir. Estos permisos son etiquetados o clasificados dependiendo de su nivel de seguridad (normal, dangerous, signature, signatureOrSystem).
Vulnerabilidades Android
De almacenamiento
Instalación, actualización y permisos de aplicaciones
CPUBibliotecas
Kernel
Las vulnerabilidades de este sistema operativo, se pueden hallar al revisar estas medidas de seguridad y la arquitectura del sistema operativo dando así las siguientes vulnerabilidades más predominantes del sistema
Vulnerabilidades Android
A continuación se presentan 9 vulnerabilidades del sistema operativo Android de mayor afectación entre el 2011 y el 2015, clasificadas de mayor a menor puntuación según el estándar de nombres de vulnerabilidades de la seguridad de la información CVE (Common Vulnerabilities and Exposures).
CVE-2015-1474- Atacantes obtienen privilegios o causan una denegación de servicio (corrupción de memoria ) provocando un número de gran tamaño.
CVE-2011-2344 Permite a atacantes remotos obtener privilegios y acceder a fotografías privadas y álbumes web
CVE-2013-4787 No comprueba correctamente firmas criptográficas para las aplicaciones , lo que permite a los atacantes ejecutar código arbitrario
10
10
9.3
CVE-2010-1807- Permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (caída de aplicación) a través de un documento HTML manipulado
CVE-2013-4710 No aplica correctamente la clase WebView , que permite a atacantes remoto para ejecutar métodos arbitrarios de objetos Java
CVE-2013-6271 Atacantes eluden restricciones de acceso previstos y eliminar los bloqueos de dispositivos a través de una aplicación diseñada
9,3
8,8
7,8
CVE-2011-3918- Permite a atacantes remotos causar una denegación de servicio ( bucle de reinicio ) a través de una aplicación diseñada.
CVE-2013-6770 Permite a atacantes ganar privilegios mediante el aprovechamiento de la cáscara ADB acceso y una cierta Linux UID , y luego crear un script caballo de Troya
CVE-2014-8507 Permite a atacantes remoto ejecutar comandos SQL de su elección, y por lo tanto ponen en marcha una actividad o servicio
7,8
7,5
7,6
SOFTWARE MALICIOSO REGISTRADO PARA ANDROID 2012-2013
SOFTWARE MALICIOSO REGISTRADO PARA ANDROID 2012-2013
ANÁLISIS DE VULNERABILIDADES DE IOS
ANÁLISIS DEL SISTEMA OPERATIVO APPLE IOS
Este sistema operativo fue creado para ejecutar
aplicaciones en dispositivos marca Apple, inicialmente para el ipod, posteriormente iphone, ipod touch, ipad y AppleTV, este sistema operativo está basado
en Unix específicamente en Darwin BSD. Para realizar un
análisis de vulnerabilidades en este sistema operativo, es
preciso identificar su arquitectura y las medidas de seguridad que implementa.
ANÁLISIS DEL SISTEMA OPERATIVO APPLE IOS
• Esta arquitectura es denominada arquitectura por capas, en donde las capas de mayor nivel contienen los servicios y tecnologías más importantes para el desarrollo de aplicaciones, y las capas más bajas controlan los servicios básicos.
FIGURA 4. Arquitectura del sistema operativo Apple IOS Tomada de: https://sites.google.com/site/tecnologiaiostm/desarrollo-de-aplicaciones/arquitectura-ios
Medidas de seguridad Apple IOS
Del sistema
De los datos que
almacena
De los datos que son
enviados a través de las
redes
De las aplicaciones
Medidas de seguridad IOS-Del sistema
Están diseñadas para que tanto el software y el hardware sean seguros a través de componentes básicos de todos los dispositivos IOS. Esto incluye el proceso de arranque, el seguro enclave, el touch ID y el software de actualizaciones para asegurar que el hardware y el software funcionan óptimamente juntos y utilizando adecuadamente los recursos.
Medidas de seguridad IOS-De las Aplicaciones
• Están orientadas por capas de protección para garantizar que las aplicaciones son firmadas y verificadas, lo que incluye la firma código de la aplicación, la seguridad del proceso en tiempo de ejecución, extensiones, protección de datos en aplicaciones, grupos de aplicaciones, accesorios, homeKit y healthKit.
Medidas de seguridad IOS-De las Aplicaciones
Para que una aplicación sea considerada válida y pueda ser distribuida oficialmente a través de la App Store de Apple debe haber sido firmada digitalmente por su desarrollador, mediante un certificado digital válido emitido por Apple y asociado al programa de desarrolladores de iOS
Medidas de seguridad IOS- Datos (Almacenados y enviados a través de la red)
• Están encaminadas a la eficiencia del
dispositivo, cada dispositivo iOS tiene un motor de cifrado dedicado AES de 256, incorporado entre el almacenamiento flash y la memoria principal del sistema, por lo que el cifrado de archivos es altamente eficiente.
Vulnerabilidades Apple IOSLas vulnerabilidades de este sistema operativo, se pueden hallar al
revisar estas medidas de seguridad y la arquitectura del sistema operativo dando así las siguientes vulnerabilidades más
predominantes del sistema:Sistema de arranque
Desbloqueo de pantalla
IOS
SandBox
Modelo de permisos
Vulnerabilidades Apple IOS
A continuación se presentan 9 vulnerabilidades del sistema operativo Apple IOS de mayor afectación entre el 2008 y el 2015, clasificadas de mayor a menor puntuación según el estándar de nombres de vulnerabilidades de la seguridad de la información CVE (Common Vulnerabilities and Exposures).
CVE-2008-4211- Permite a atacantes remotos provocar una denegación de servicio (cierre de la aplicación) y ejecutar código arbitrario a través de un archivo de Microsoft Excel diseñado.
CVE-2009-2204 Permite a atacantes remotos ejecutar código arbitrario, obtener coordenadas de GPS, o activar el micrófono a través de un mensaje SMS que provoca daños en la memoria.
CVE-2010-1119 Permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio ( caída de aplicación) , o leer la base de datos de SMS u otros datos , a través de vectores
10
10
10
CVE-2010-1809 No realiza el anuncio VoiceOver esperada asociada con el icono de los servicios de localización, que tiene vectores de impacto y de ataque no especificados.
CVE-2012-5112 Vulnerabilidad en la implementación de SVG en WebKit , tal como se utiliza en Google Chrome 22.0.1229.94 antes , permite a atacantes remotos ejecutar código arbitrario a través de vectores no especificados.
CVE-2014-1356 Permite a atacantes ejecutar código arbitrario a través de una aplicación diseñada que envía mensajes IPC.
10
10
10
CVE-2014-1357 Permite a atacantes ejecutar código arbitrario a través de una aplicación diseñada que genera mensajes de registro.
CVE-2014-4480 Permite a los atacantes acceder a ubicaciones del sistema de archivos no deseados mediante la creación de un enlace simbólico.
CVE-2014-4486 No maneja correctamente las listas de recursos y tipos userclient IOService , que permite a los atacantes ejecutar código arbitrario o causar una denegación de servicio (NULL referencia a un puntero ) a través de una aplicación diseñada.
10
10
10
SOFTWARE MALICIOSO REGISTRADO PARA APPLE IOS
Nombre Hallazgo Presunto Origen
Proceso utilizado Tipo
iOS/Trapsms.A!tr.spy June 2009 Russia? Jailbroken SMS Forwarder
Spy/MobileSpy!iPhoneOS Aug 2009 USA Jailbroken Spyware
iOS/Eeki.A!worm nov-09 Australia (Ashley Towns)
Jailbroken Worm Proof of Concept
iOS/Eeki.B!worm nov-09 The Netherlands
Jailbroken Mobile banking malware
iOS/Toires.A!tr.spy nov-09 Switzerland (Nicolas Seriot)
Any (jailbroken or not) Rogue application - Proof Of Concept
SOFTWARE MALICIOSO REGISTRADO PARA APPLE IOS
Nombre Hallazgo Presunto Origen
Proceso utilizado Tipo
Adware/LBTM!iOS sep-10 France Any (jailbroken or not) - Was found (and removed) in the official AppStore
Call premium phone number
Spy/iKeyGuard!iPhoneOS
Apr 2011 Czech Rep. Jailbroken Keylogger
iOS/FindCall.A!tr.spy July 2012 Russia? Any (jailbroken or not) - Was found (and removed) in the official AppStore
Privacy trojan
Riskware/Killmob!iOS July 2013 USA Jailbroken Spyware
iOS/AdThief.A!tr mar-14 China Jailbroken Ad revenue hijacking
EJECUCIÓN DE UNA DISTRIBUCIÓN LINUX PARA ANÁLISIS DE VULNERABILIDADES
Santoku es una distribución Linux basada en MobiSec especializada en pruebas de seguridad, análisis de malware y análisis forenses para teléfonos móviles, válida para dispositivos con Android, BlackBerry, iOS y Windows Phone.
Android
IOS
EJECUCIÓN DE UNA DISTRIBUCIÓN LINUX PARA ANÁLISIS DE VULNERABILIDADES
0%
20%
40%
60%
80%
20% 18%
45%59%
15%25%
65%75%
AndroidIOS
CONCLUSIONES• Según el estándar de nombres de vulnerabilidades de la seguridad de la
información CVE (Common Vulnerabilities and Exposures) entre el 2011 y el 2015, el sistema operativo Android tiene una página con 42 vulnerabilidades registradas con grado de afectación entre el 2,6 y 10,0 en una escala del 0 al 10. Mientras que el sistema operativo Apple IOS tiene 8 páginas con más de 400 vulnerabilidades registradas con grado de afectación entre el 1,2 y 10,0 en una escala del 0 al 10.
CONCLUSIONES
Los cibercriminales están dedicando más esfuerzos a desarrollar software malicioso dirigido a tablets y
smartphones, especialmente a los dispositivos Android.
La naturaleza de plataforma abierta del sistema operativo Android, la facilidad con la que se pueden
crear las aplicaciones y la amplia variedad de mercados de aplicaciones (no oficiales) que existen influyen de
manera significativa en la seguridad.
En general, tanto Android como iOS son sistemas operativos excepcionalmente seguros. Ambos apuestan
por medidas de seguridad activadas por defecto. El enfoque, sin embargo, difiere en algunos puntos, sobre
todo en el del control de las funciones.
IOS ANDROID
iOS posee mayor cantidad de vulnerabilidades registradas a cambio de renunciar a algunas libertades que el usuario puede valorar mucho, como la posibilidad mover datos fácilmente o instalar aplicaciones no-oficiales, los usuarios renuncian a una mayor libertad a cambio de pensar menos en la seguridad debido al menor numero de ataques.
Android, por otro lado, tiene menos vulnerabilidades registradas, el cifrado de datos lo realiza vía software, lo que ocasiona que disminuya su rendimiento, contrario de lo que hace Apple, que cifra vía hardware. Con Android, el usuario debe tener conciencia de lo que hace con su dispositivo debido al gran número de software malicioso que se genera cada día.
Bibliografía[1] Poderpda, «Poderpda,» 26 septiembre 2012. [En línea]. Available:
http://www.poderpda.com/plataformas/android/analisis-de-seguridad-de-symantec-de-ios-de-apple-y-android-de-google/. [Último acceso: 23 zomar 2015].
[2] Norton, «Norton Security,» 1 junio 2014. [En línea]. Available: http://co.norton.com/android-vs-ios/article. [Último acceso: 02 Marzo 2015].
[3] Wikipedia, «Wikipedia,» 27 marzo 2015. [En línea]. Available: http://co.norton.com/android-vs-ios/article. [Último acceso: 27 Marzo 2015].
[4] searchesdata center, « searchesdata center,» 2014. [En línea]. Available: http://searchdatacenter.techtarget.com/es/consejo/Android-vs-iOS-caracteristicas-politicas-y-controles-de-seguridad. [Último acceso: 15 Marzo 2015].
[5] sophos, « sophos » 2012[En línea]. Available: http://www.sophos.com/es-es/security-news-trends/security-trends/malware-goes-mobile/why-ios-is-safer-than-android.aspx. [Último acceso: 24 Febrero 2015].
[6] ESSET, « ESSET» 2014[En línea]. Available: http://www.eset-la.com/pdf/tendencias_2014_el_desafio_de_la_privacidad_en_internet.pdf [Último acceso: 24 Febrero 2015].
[7] xatka, « xatka » 16 Octubre 2014[En línea]. Available: http://www.xatakamovil.com/sistemas-operativos/mantiene-android-alguna-ventaja-sobre-ios-o-viceversa. [Último acceso: 12 Marzo 2015].
[8] Gurú de la informatica, 06 agosto 2014 [En línea]. Available: http://www.gurudelainformatica.es/2014/08/distribucion-ideal-para-analisis-de.html [Último acceso: 26 Marzo 2015].
Bibliografía
[9] HackPlayers, 14 julio 2014 [En línea]. Available : http://www.hackplayers.com/2014/07/vulnerabilidades-en-android-que-pueden-arruinarte.html [Último acceso: 27 Marzo 2015].
[10] Curesec, « BlogCuresec » 04 julio 2014 [En línea]. Available: http://www.blog.curesec.com[Último acceso: 28 Agosto 2014].
[11] Wikipedia, « Wikipedia» 24 marzo 2015 [En línea]. Available: http://es.wikipedia.org/wiki/POSIX
[Último acceso: 27 Marzo 2015].
[12] Wikipedia, « Wikipedia» 24 marzo 2015 [En línea]. Available: http://en.wikipedia.org/wiki/Completely_Fair_Scheduler [Último acceso: 27 Marzo 2015].
[13] Fandroides, « Fandroides» 20 septiembre 2014 [En línea]. Available: http://www.fandroides.com/como-instalar-aplicaciones-android-en-chrome-para-windows-linux-y-mac/ [Último acceso: 20 Marzo 2015].
[14] Andorid Jefe, 7 abril 2014 [En línea]. Available: http://www.androidjefe.com/descargar-aplicaciones-google-play-pc/ [Último acceso: 17 Marzo 2015].
Bibliografía[15] CVE, « CVE Details » 23 marzo 2015 [En línea]. Available:
http://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/Google-Android.html [Último acceso: 17 Marzo 2015].
[16] Wikipedia, 8 enero 2015 [En línea]. Available: http://es.wikipedia.org/wiki/IOS [Último acceso: 27 Marzo 2015].
[17] Rollanwar, « Blog » 15 abril 2012 [En línea]. Available: http://rollanwar.blogspot.com/2012/04/evolucion-de-android-en-seguridad.html [Último acceso: 24 Febrero 2015].
[18] Instituo Nacional de Cyberseguridad, « INCIBE » 26 octubre 2012 [En línea]. Available: https://www.incibe.es/Proteccion/Configuraciones_seguras/Dispositivos_moviles/ [Último acceso: 05 Abril2015].
[19] Symantec, 23 agosto 2011 [En línea]. Available: http://www.symantec.com/es/mx/about/news/release/article.jsp?prid=20110823_01 [Último acceso: 06 Abril 2015].
[20] Kaspersky, 02 febrero 2015 [En línea]. Available: http://latam.kaspersky.com/sobre-kaspersky/centro-de-prensa/ultimas-noticias [Último acceso: 06 Abril 2015].
Bibliografía[21] Fortinet, 09 junio 2014 [En línea]. Available: https://blog.fortinet.com/post/ios-malware-does-
exist [Último acceso: 28 enero 2015].
[22] Eve Ingeniería de Sistemas « Blog » ,11 abril 2012 [En línea]. Available: http://eve-ingsistemas-u.blogspot.com/2012/04/sistemas-operativos-moviles-ios.html [Último acceso: 28 enero 2015].
[23] Apple « Página principal » ,octubre 2014 [En línea]. Available: http://www.apple.com/business/docs/iOS_Security_Guide.pdf [Último acceso: 4 abril 2015].
[24] Elconfidencialdigital , julio 2014 [En línea]. Available: http://www.elconfidencialdigital.com/Manual-CCN-seguridad-iPhone_ECDFIL20140910_0001.pdf [Último acceso: 06 abril 2015].
[25] Mycomputer « Página principal » ,23 febrero 2015 [En línea]. Available: http://www.muycomputer.com/2015/02/23/mac-os-x-ios-y-linux-son-mas-vulnerables-que-windows [Último acceso: 26 marzo 2015].
[26] NIST « Página principal » ,12 marzo 2015 [En línea]. Available: https://nvd.nist.gov/home.cfm [Último acceso: 26 marzo 2015].
GRACIAS
