El documento contiene información sobre seguridad móvil, incluyendo aplicaciones para verificar la velocidad de datos y wifi, cifrado de dispositivos, permisos de aplicaciones, actualizaciones del sistema operativo, amenazas comunes y medidas de seguridad recomendadas como el bloqueo de pantalla y el uso de software de seguridad.

1. Guido Ticona Hurtado
guidoti@gmail.com

2.  Datos Móviles
◦ GPRS,EDGE,HTMS 3G,HSDPA H,HSUPA H+,4G
 Aplicaciones para ver la velocidad
◦ SpeedTest.NET
◦ Internet Speed Test
◦ Speed Test Light
 Aplicaciones para ver trafico
◦ Network usage
◦ Network Log
◦ Network Monitor
 Aplicaciones para wifi
◦ Fing
◦ Wifi Analyzer

3.  Cuando un dispositivo es robado o perdido
 Burlar el bloqueo de pantalla es sencillo
 Para información sensible
 Para datos confidenciales
 Evitar acceso a información por desconocidos
 El cifrado establece una secuencia complicada de
operaciones matemáticas que necesitan una
variable proporcionada
 Se usa dmcrypt que implementa AES128

4.  Disminuye el rendimiento, aunque dependerá del
hardware del mismo
 No se puede deshabilitar, es de un solo sentido
 Solo se restaura regresando el móvil a su estado
de fabrica
 Tener cargado la batería al 80% mínimo

5.  Establecer el pin de bloqueo de pantalla
 Ajustes del sistema
 Seguridad
 Encriptar teléfono
 También se puede cifrar la tarjeta SD
 Cada vez que se enciende el móvil se pedirá el
pin de cifrado

6.  Encryption Manager (AES 128-256)
◦ Twofish 256
 SECRECY (AES 256)
 Boxcryptor Classic (AES 256)
 SSE Universal Encryption App 50m
◦ AES 256,RC6 256,serpent 226,twofish 256

7.  Modelo basado en permisos de usuario
 Process isolation
 Mecanismo extensible para seguridad de
comunicación inter-procesos (secure IPC)
 Habilidad para eliminar partes innecesarias e
inseguras del kernel
 Separación de funciones, como ser el
almacenamiento de las aplicaciones

8.  Imagine que las aplicaciones de Android son los
huéspedes de un hotel.
 Cada huésped obtiene una tarjeta de acceso que
le permite entrar en su habitación, en el vestíbulo,
en el bar y puede que en otras partes del hotel.
 Esta tarjeta, no obstante, no le proporciona
acceso a la cocina o a la oficina del director del
hotel

9.  Acceso a APIs protegidas
 Cualquier aplicación puede acceder a un limitado
rango de recursos del sistema
 Algunas APIs están restringidas por ser sensibles
 APIs protegidas solo son accesibles a través del
sistema operativo.
 Las apps definen en su manifiesto los permisos
requeridos

10.  Se pregunta al usuario si se acepta los permisos
solicitados
 El usuario no puede conceder o denegar
permisos individuales
 Las aplicaciones del sistema no solicitan permisos
 Los permisos están agrupados según su
naturaleza

11.  COST_MONEY
 APP_INFO
 DISPLAY
 STORAGE
 SYSTEM_TOOLS
 WALLPAPER
 NETWORK
 ACCOUNTS
 LOCATION
 PERSONAL_INFO

12.  Ubicación basada en red
◦ ACCESS_COARSE_LOCATION
 Modificación en tarjeta SD
◦ WRITE_EXTERNAL_STORAGE
 Leer estado e identidad del móvil
◦ READ_PHONE_STATE
 Leer y enviar SMS
◦ READ_SMS
◦ RECEIVE_SMS
◦ SEND_SMS

13.  Ubicación GPS
◦ ACCESS_FINE_LOCATION
 Leer estado de red
◦ ACCESS_WIFI_STATE
 Realizar Fotografías
◦ CAMERA

14.  Realizar llamadas
◦ CALL_PHONE
 Envio de SMS/MMS
◦ SEND_SMS
 Lectura y escritura en tarjeta SD
◦ WRITE_EXTERNAL_CARD
 Información de contactos
◦ READ_CONTACTS
 Leer/Modificar datos de calendario
◦ READ_CALENDAR
◦ WRITE_CALENDAR

15.  Permisos para Bluetooth
◦ BLUETOOTH
◦ BLUETOOTH_ADMIN
 Acceso a Internet
◦ INTERNET
 Reiniciar otras aplicaciones
◦ KILL_BACKGROUND_PROCESSES
◦ RESTART_PACKAGES

16.  Permisos para Bluetooth
◦ BLUETOOTH
 Acceso a Internet
◦ INTERNET, CHANGE_WIFI_STATE
 Impedir que el móvil entre en modo suspensión
◦ WAKE_LOCK
 Iniciar automáticamente al encender
◦ RECEIVE_BOOT_COMPLETED
 Control de vibración
◦ VIBRATE

17.  Establecer en modo ladrillo
◦ BRICK
 Restaurar a fabrica
◦ MASTER_CLEAR
 Permitir una actividad persistente
◦ PERSISTENT_ACTIVITY
 Resetear el dispositivo
◦ REBOOT

18.  Telefonía
◦ CALL_PHONE
 SMS/MMS
◦ SEND_SMS
 Red/Datos
◦ INTERNET
 In-App Billing
◦ com.android.vending.BILLING
 Acceso NFC
◦ NFC
◦ BIND_NFC_SERVICE

19.  No es accesible para aplicaciones de terceros
 Para comandos AT no se proporciona ninguna
API de alto nivel
 El SO se encarga de las comunicaciones con la
Tarjeta SIM
◦ Acceso a contactos
◦ Código de bloqueo SIM
◦ Información de SIM

20.  El código y la descripción de todos los permisos
se encuentran en:
 https://developer.android.com/reference/android/
Manifest.permission.html

21.  Al instalar una aplicación y creemos que un
permiso en concreto esta simplemente para
abusar
 Se puede recurrir a herramientas que gestionan
permisos
◦ LBE privacy guard
◦ Pdroid Manager/Privacy Protection
◦ Permissions Denied

22.  Si instalamos desde un .apk
◦ Aapt dump permissions archivo.apk
 Si instalamos del play store
◦ Al instalar nos muestra los permisos que necesita la
aplicación
 Se puede ver los permisos en las aplicaciones
instaladas
◦ En ajustes-aplicaciones-app

23.  Actualizaciones OTA (Over the air)
◦ En ajustes-Acerca del dispositivo – ver actualizaciones
 Actualizacion side-loaded updates
◦ Se descarga el .zip
◦ Ingresa en menu Recovery
◦ Seleccionar el zip

25.  Ataques basados en la web y en redes
 Software malicioso
 Ataques de ingeniería social
 Abuso de disponibilidad de recursos
 Perdida de datos maliciosa
 Ataques sobre la integridad de los dispositivos

26.  Existe mucho código malicioso
◦ Malware - badware
◦ Botnets
◦ Adware
◦ Troyans – backdoor (geinimi,droiddream,raden)
◦ Rogue
◦ Phishing
◦ Exploits

27.  Vulnerabilidad WhatsApp
◦ Historico de conversaciones se guardaba en /sdcard
◦ Estaba cifrado AES 192 con la misma clave
◦ Esto fue aprovechado por Ballon Pop 2
◦ Luego se cambio al cifrado con una clave generada por
dispositivo

28.  Copia de información
◦ Usando Cargadores públicos, se instalaban raspberrys
para copiar información
◦ A través de script con adb
◦ Deshabilitar depuración USB
 Control de acceso
◦ Reconocimiento facial
◦ Algunos dispositivos permiten ingreso con solo una
fotografía de la persona

29.  Bloquear el acceso por algún método
◦ Pattern, Pin, Password
 Actualizar el sistema operativo
◦ OTA, side-loaded
 Tener cuidado cuando las aplicaciones piden mas de
lo que necesitan
 Bloquear orígenes desconocidos al instalar
aplicaciones
 Mostrar localización solo cuando se necesite
 Bloquear la tarjeta SIM

30.  Deshabilitar Java
 Deshabilitar Flash
 Deshabilitar recordar contraseñas
 Deshabilitar opción habilitar ubicación

31.  Avast Mobile Security (100M 4.4)
◦ AppLock, Antivirus, Firewall
◦ Antirobo
 Qihoo 360 Mobile Safe (50M 4.8)
◦ Diseño sencillo
◦ Gratis
 CM Security (50M 4.7)
◦ AppLock, Antivirus
◦ Liviano
 Lookout Mobile Security (50M 4.5)
◦ El primero
 Norton Mobile Securiry (10M 4.4)
 Kaspersky Internet Security (5M 4.6)
 Trend Micro Mobile Security (1M 4.5)