SlideShare una empresa de Scribd logo

Presentacion segi seminario_yisell

Descargar como PPTX, PDF
Yiz Puentes Cubides
Yiz Puentes Cubides

SECURITY MOBILE ANDROID VS IOS

Móvil
1 de 46
Contenido • INTRODUCCIÓN • MARCO TEÓRICO • ANÁLISIS DE VULNERABILIDADES DE ANDROID • SOFTWARE MALICIOSO REGISTRADO PARA ANDROID 2012- 2013 • ANÁLISIS DE VULNERABILIDADES DE APPLE IOS • SOFTWARE MALICIOSO REGISTRADO PARA APPLE IOS • EJECUCIÓN DE UNA DISTRIBUCIÓN LINUX PARA ANÁLISIS DE VULNERABILIDADES • CONCLUSIONES • BIBLIOGRAFIA
INTRODUCCIÓN
ANÁLISIS DE VULNERABILIDADES DE ANDROID
ANÁLISIS DEL SISTEMA OPERATIVO ANDROID Este sistema operativo fue creado para ejecutar aplicaciones en dispositivos móviles, está basado en Linux, Middleware y aplicaciones centrales. Para realizar un análisis de vulnerabilidades en este sistema operativo, es preciso identificar su arquitectura y las medidas de seguridad que implementa. A continuación se muestra una ilustración de la arquitectura del sistema operativo Android.
Figura 1. Arquitectura del Sistema Operativo de Android Esta arquitectura es denominada arquitectura de pila en donde cada capa utiliza servicios ofrecidos por los anteriores y a su vez los suyos propios a las capas de niveles superiores. Tomada de: http://es.wikipedia.org/wiki/Android
Medidas de seguridad Android Kernel Entorno de desarrollo Mecanismos de seguridad específicos del framework Redes del sistema
Medidas de seguridad Android-Kernel Esta interfaz se encarga de asignar un User ID a cada aplicación al momento de ser instalada, y las aplicaciones que tienen distintos User ID por defecto, no pueden interactuar entre sí a menos que tengan privilegios para hacerlo y tienen acceso limitado al sistema operativo, para compartir un User ID, las aplicaciones deberán declarar el valor sharedUserID y tener la misma firma digital. Para el caso de los archivos también existe algo similar, a cada archivo se le asocia un owner-user y group-ID y tres tuplas de permisos de lectura, escritura y ejecución. Esto es basado en el mecanismo de permisos de sistemas Linux DAC (Discretionary Access Control). Las medidas de seguridad basadas en el kernel, se tipifican en dos El POSIX: (Portable Operating System Interface) El acceso a archivos y almacenamiento
Medidas de seguridad Android-Kernel Sólo el kernel y algunas aplicaciones core de Android corren con permisos root. Sin embargo, el usuario puede modificar esta configuración. Dentro del dispositivo el sistema utiliza encripción de tipo SHA256 O AES128 para prevenir el uso no autorizado de información almacenada.
Medidas de seguridad Android-basadas en el entorno de desarrollo • Son de carácter “type-safe” en donde las variables tienen un formato específico que garantiza que no puedan ser usadas malintencionadamente para provocar daños en la memoria, esto debido a que las aplicaciones son desarrolladas en lenguaje Java y los datos que utiliza son definidos en tiempo de complicación • Otra de las medidas que se basa en el entorno de desarrollo es el componente MMU (Memory Management Unit) que trabaja directamente con direcciones de memoria, en donde asigna distintos espacios de memoria a diferentes procesos, evitando que estos procesos sean leídos por otros procesos y pueda dañarse la memoria • Este componente garantiza la disponibilidad y confidencialidad de los procesos ejecutados por el sistema.
Medidas de seguridad Android-basadas en las redes del sistema Utiliza mecanismos de autenticación de pertenencia en donde la tarjeta inteligente SIM card posee la información del usuario y del operador
Medidas de seguridad Android- Mecanismos de seguridad del framework La firma digital, que se exige como requerimiento para todas las aplicaciones que se instalan. Al instalar una aplicación, el Package Manager verifica la validez del certificado y que la clave usada para firmar la aplicación coincida con la proporcionada en el certificado. El MAC (Mandatory Access Control) se encarga de asignar los permisos de las aplicaciones que se instalan en el dispositivo, una vez que se asignen estos permisos, la aplicación no puede acceder a los permisos denegados ni intentar volverlos a pedir. Estos permisos son etiquetados o clasificados dependiendo de su nivel de seguridad (normal, dangerous, signature, signatureOrSystem).
Vulnerabilidades Android De almacenamiento Instalación, actualización y permisos de aplicaciones CPUBibliotecas Kernel Las vulnerabilidades de este sistema operativo, se pueden hallar al revisar estas medidas de seguridad y la arquitectura del sistema operativo dando así las siguientes vulnerabilidades más predominantes del sistema
Vulnerabilidades Android A continuación se presentan 9 vulnerabilidades del sistema operativo Android de mayor afectación entre el 2011 y el 2015, clasificadas de mayor a menor puntuación según el estándar de nombres de vulnerabilidades de la seguridad de la información CVE (Common Vulnerabilities and Exposures).
CVE-2015-1474- Atacantes obtienen privilegios o causan una denegación de servicio (corrupción de memoria ) provocando un número de gran tamaño. CVE-2011-2344 Permite a atacantes remotos obtener privilegios y acceder a fotografías privadas y álbumes web CVE-2013-4787 No comprueba correctamente firmas criptográficas para las aplicaciones , lo que permite a los atacantes ejecutar código arbitrario
CVE-2010-1807- Permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (caída de aplicación) a través de un documento HTML manipulado CVE-2013-4710 No aplica correctamente la clase WebView , que permite a atacantes remoto para ejecutar métodos arbitrarios de objetos Java CVE-2013-6271 Atacantes eluden restricciones de acceso previstos y eliminar los bloqueos de dispositivos a través de una aplicación diseñada
CVE-2011-3918- Permite a atacantes remotos causar una denegación de servicio ( bucle de reinicio ) a través de una aplicación diseñada. CVE-2013-6770 Permite a atacantes ganar privilegios mediante el aprovechamiento de la cáscara ADB acceso y una cierta Linux UID , y luego crear un script caballo de Troya CVE-2014-8507 Permite a atacantes remoto ejecutar comandos SQL de su elección, y por lo tanto ponen en marcha una actividad o servicio
SOFTWARE MALICIOSO REGISTRADO PARA ANDROID 2012- 2013
SOFTWARE MALICIOSO REGISTRADO PARA ANDROID 2012- 2013
ANÁLISIS DE VULNERABILIDADES DE IOS
ANÁLISIS DEL SISTEMA OPERATIVO APPLE IOS Este sistema operativo fue creado para ejecutar aplicaciones en dispositivos marca Apple, inicialmente para el ipod, posteriormente iphone, ipod touch, ipad y AppleTV, este sistema operativo está basado en Unix específicamente en Darwin BSD. Para realizar un análisis de vulnerabilidades en este sistema operativo, es preciso identificar su arquitectura y las medidas de seguridad que implementa.
ANÁLISIS DEL SISTEMA OPERATIVO APPLE IOS • Esta arquitectura es denominada arquitectura por capas, en donde las capas de mayor nivel contienen los servicios y tecnologías más importantes para el desarrollo de aplicaciones, y las capas más bajas controlan los servicios básicos. FIGURA 4. Arquitectura del sistema operativo Apple IOS Tomada de: https://sites.google.com/site/tecnologiaiostm/desarrollo-de-aplicaciones/arquitectura-ios
Medidas de seguridad Apple IOS Del sistema De los datos que almacena De los datos que son enviados a través de las redes De las aplicaciones
Medidas de seguridad IOS-Del sistema Están diseñadas para que tanto el software y el hardware sean seguros a través de componentes básicos de todos los dispositivos IOS. Esto incluye el proceso de arranque, el seguro enclave, el touch ID y el software de actualizaciones para asegurar que el hardware y el software funcionan óptimamente juntos y utilizando adecuadamente los recursos.
Medidas de seguridad IOS-De las Aplicaciones • Están orientadas por capas de protección para garantizar que las aplicaciones son firmadas y verificadas, lo que incluye la firma código de la aplicación, la seguridad del proceso en tiempo de ejecución, extensiones, protección de datos en aplicaciones, grupos de aplicaciones, accesorios, homeKit y healthKit.
Medidas de seguridad IOS-De las Aplicaciones Para que una aplicación sea considerada válida y pueda ser distribuida oficialmente a través de la App Store de Apple debe haber sido firmada digitalmente por su desarrollador, mediante un certificado digital válido emitido por Apple y asociado al programa de desarrolladores de iOS
Medidas de seguridad IOS- Datos (Almacenados y enviados a través de la red)
Vulnerabilidades Apple IOS Las vulnerabilidades de este sistema operativo, se pueden hallar al revisar estas medidas de seguridad y la arquitectura del sistema operativo dando así las siguientes vulnerabilidades más predominantes del sistema:
Vulnerabilidades Apple IOS A continuación se presentan 9 vulnerabilidades del sistema operativo Apple IOS de mayor afectación entre el 2008 y el 2015, clasificadas de mayor a menor puntuación según el estándar de nombres de vulnerabilidades de la seguridad de la información CVE (Common Vulnerabilities and Exposures).
CVE-2008-4211- Permite a atacantes remotos provocar una denegación de servicio (cierre de la aplicación) y ejecutar código arbitrario a través de un archivo de Microsoft Excel diseñado. CVE-2009-2204 Permite a atacantes remotos ejecutar código arbitrario, obtener coordenadas de GPS, o activar el micrófono a través de un mensaje SMS que provoca daños en la memoria. CVE-2010-1119 Permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio ( caída de aplicación) , o leer la base de datos de SMS u otros datos , a través de vectores
CVE-2010-1809 No realiza el anuncio VoiceOver esperada asociada con el icono de los servicios de localización, que tiene vectores de impacto y de ataque no especificados. CVE-2012-5112 Vulnerabilidad en la implementación de SVG en WebKit , tal como se utiliza en Google Chrome 22.0.1229.94 antes , permite a atacantes remotos ejecutar código arbitrario a través de vectores no especificados. CVE-2014-1356 Permite a atacantes ejecutar código arbitrario a través de una aplicación diseñada que envía mensajes IPC.
CVE-2014-1357 Permite a atacantes ejecutar código arbitrario a través de una aplicación diseñada que genera mensajes de registro. CVE-2014-4480 Permite a los atacantes acceder a ubicaciones del sistema de archivos no deseados mediante la creación de un enlace simbólico. CVE-2014-4486 No maneja correctamente las listas de recursos y tipos userclient IOService , que permite a los atacantes ejecutar código arbitrario o causar una denegación de servicio (NULL referencia a un puntero ) a través de una aplicación diseñada.
SOFTWARE MALICIOSO REGISTRADO PARA APPLE IOS Nombre Hallazgo Presunto Origen Proceso utilizado Tipo iOS/Trapsms.A!tr.spy June 2009 Russia? Jailbroken SMS Forwarder Spy/MobileSpy!iPhoneOS Aug 2009 USA Jailbroken Spyware iOS/Eeki.A!worm nov-09 Australia (Ashley Towns) Jailbroken Worm Proof of Concept iOS/Eeki.B!worm nov-09 The Netherlands Jailbroken Mobile banking malware iOS/Toires.A!tr.spy nov-09 Switzerland (Nicolas Seriot) Any (jailbroken or not) Rogue application - Proof Of Concept
SOFTWARE MALICIOSO REGISTRADO PARA APPLE IOS Nombre Hallazgo Presunto Origen Proceso utilizado Tipo Adware/LBTM!iOS sep-10 France Any (jailbroken or not) - Was found (and removed) in the official AppStore Call premium phone number Spy/iKeyGuard!iPhoneOS Apr 2011 Czech Rep. Jailbroken Keylogger iOS/FindCall.A!tr.spy July 2012 Russia? Any (jailbroken or not) - Was found (and removed) in the official AppStore Privacy trojan Riskware/Killmob!iOS July 2013 USA Jailbroken Spyware iOS/AdThief.A!tr mar-14 China Jailbroken Ad revenue hijacking
EJECUCIÓN DE UNA DISTRIBUCIÓN LINUX PARA ANÁLISIS DE VULNERABILIDADES Santoku es una distribución Linux basada en MobiSec especializada en pruebas de seguridad, análisis de malware y análisis forenses para teléfonos móviles, válida para dispositivos con Android, BlackBerry, iOS y Windows Phone.
Android
IOS
EJECUCIÓN DE UNA DISTRIBUCIÓN LINUX PARA ANÁLISIS DE VULNERABILIDADES 0% 10% 20% 30% 40% 50% 60% 70% 80% seguridad SSL fallida seguridad en contraseñas datos de aplicaciones confidenciales almacenados en la memoria por lo menos una " alta " calificación de riesgo 20% 18% 45% 59% 15% 25% 65% 75% Android IOS
CONCLUSIONES • Según el estándar de nombres de vulnerabilidades de la seguridad de la información CVE (Common Vulnerabilities and Exposures) entre el 2011 y el 2015, el sistema operativo Android tiene una página con 42 vulnerabilidades registradas con grado de afectación entre el 2,6 y 10,0 en una escala del 0 al 10. Mientras que el sistema operativo Apple IOS tiene 8 páginas con más de 400 vulnerabilidades registradas con grado de afectación entre el 1,2 y 10,0 en una escala del 0 al 10.
CONCLUSIONES Los cibercriminales están dedicando más esfuerzos a desarrollar software malicioso dirigido a tablets y smartphones, especialmente a los dispositivos Android. La naturaleza de plataforma abierta del sistema operativo Android, la facilidad con la que se pueden crear las aplicaciones y la amplia variedad de mercados de aplicaciones (no oficiales) que existen influyen de manera significativa en la seguridad. En general, tanto Android como iOS son sistemas operativos excepcionalmente seguros. Ambos apuestan por medidas de seguridad activadas por defecto. El enfoque, sin embargo, difiere en algunos puntos, sobre todo en el del control de las funciones.
IOS ANDROID iOS posee mayor cantidad de vulnerabilidades registradas a cambio de renunciar a algunas libertades que el usuario puede valorar mucho, como la posibilidad mover datos fácilmente o instalar aplicaciones no-oficiales, los usuarios renuncian a una mayor libertad a cambio de pensar menos en la seguridad debido al menor numero de ataques. Android, por otro lado, tiene menos vulnerabilidades registradas, el cifrado de datos lo realiza vía software, lo que ocasiona que disminuya su rendimiento, contrario de lo que hace Apple, que cifra vía hardware. Con Android, el usuario debe tener conciencia de lo que hace con su dispositivo debido al gran número de software malicioso que se genera cada día.
Bibliografía [1] Poderpda, «Poderpda,» 26 septiembre 2012. [En línea]. Available: http://www.poderpda.com/plataformas/android/analisis-de-seguridad-de-symantec-de-ios- de-apple-y-android-de-google/. [Último acceso: 23 zomar 2015]. [2] Norton, «Norton Security,» 1 junio 2014. [En línea]. Available: http://co.norton.com/android-vs- ios/article. [Último acceso: 02 Marzo 2015]. [3] Wikipedia, «Wikipedia,» 27 marzo 2015. [En línea]. Available: http://co.norton.com/android-vs- ios/article. [Último acceso: 27 Marzo 2015]. [4] searchesdata center, « searchesdata center,» 2014. [En línea]. Available: http://searchdatacenter.techtarget.com/es/consejo/Android-vs-iOS-caracteristicas-politicas-y- controles-de-seguridad. [Último acceso: 15 Marzo 2015]. [5] sophos, « sophos » 2012[En línea]. Available: http://www.sophos.com/es-es/security-news- trends/security-trends/malware-goes-mobile/why-ios-is-safer-than-android.aspx. [Último acceso: 24 Febrero 2015]. [6] ESSET, « ESSET» 2014[En línea]. Available: http://www.eset- la.com/pdf/tendencias_2014_el_desafio_de_la_privacidad_en_internet.pdf [Último acceso: 24 Febrero 2015]. [7] xatka, « xatka » 16 Octubre 2014[En línea]. Available: http://www.xatakamovil.com/sistemas- operativos/mantiene-android-alguna-ventaja-sobre-ios-o-viceversa. [Último acceso: 12 Marzo 2015]. [8] Gurú de la informatica, 06 agosto 2014 [En línea]. Available: http://www.gurudelainformatica.es/2014/08/distribucion-ideal-para-analisis-de.html [Último acceso: 26 Marzo 2015].
Bibliografía [9] HackPlayers, 14 julio 2014 [En línea]. Available : http://www.hackplayers.com/2014/07/vulnerabilidades-en-android-que-pueden- arruinarte.html [Último acceso: 27 Marzo 2015]. [10] Curesec, « BlogCuresec » 04 julio 2014 [En línea]. Available: http://www.blog.curesec.com[Último acceso: 28 Agosto 2014]. [11] Wikipedia, « Wikipedia» 24 marzo 2015 [En línea]. Available: http://es.wikipedia.org/wiki/POSIX [Último acceso: 27 Marzo 2015]. [12] Wikipedia, « Wikipedia» 24 marzo 2015 [En línea]. Available: http://en.wikipedia.org/wiki/Completely_Fair_Scheduler [Último acceso: 27 Marzo 2015]. [13] Fandroides, « Fandroides» 20 septiembre 2014 [En línea]. Available: http://www.fandroides.com/como-instalar-aplicaciones-android-en-chrome-para-windows-linux-y- mac/ [Último acceso: 20 Marzo 2015]. [14] Andorid Jefe, 7 abril 2014 [En línea]. Available: http://www.androidjefe.com/descargar- aplicaciones-google-play-pc/ [Último acceso: 17 Marzo 2015].
Bibliografía [15] CVE, « CVE Details » 23 marzo 2015 [En línea]. Available: http://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/Google- Android.html [Último acceso: 17 Marzo 2015]. [16] Wikipedia, 8 enero 2015 [En línea]. Available: http://es.wikipedia.org/wiki/IOS [Último acceso: 27 Marzo 2015]. [17] Rollanwar, « Blog » 15 abril 2012 [En línea]. Available: http://rollanwar.blogspot.com/2012/04/evolucion-de-android-en-seguridad.html [Último acceso: 24 Febrero 2015]. [18] Instituo Nacional de Cyberseguridad, « INCIBE » 26 octubre 2012 [En línea]. Available: https://www.incibe.es/Proteccion/Configuraciones_seguras/Dispositivos_moviles/ [Último acceso: 05 Abril2015]. [19] Symantec, 23 agosto 2011 [En línea]. Available: http://www.symantec.com/es/mx/about/news/release/article.jsp?prid=20110823_01 [Último acceso: 06 Abril 2015]. [20] Kaspersky, 02 febrero 2015 [En línea]. Available: http://latam.kaspersky.com/sobre- kaspersky/centro-de-prensa/ultimas-noticias [Último acceso: 06 Abril 2015].
Bibliografía [21] Fortinet, 09 junio 2014 [En línea]. Available: https://blog.fortinet.com/post/ios-malware-does- exist [Último acceso: 28 enero 2015]. [22] Eve Ingeniería de Sistemas « Blog » ,11 abril 2012 [En línea]. Available: http://eve-ingsistemas- u.blogspot.com/2012/04/sistemas-operativos-moviles-ios.html [Último acceso: 28 enero 2015]. [23] Apple « Página principal » ,octubre 2014 [En línea]. Available: http://www.apple.com/business/docs/iOS_Security_Guide.pdf [Último acceso: 4 abril 2015]. [24] Elconfidencialdigital , julio 2014 [En línea]. Available: http://www.elconfidencialdigital.com/Manual- CCN-seguridad-iPhone_ECDFIL20140910_0001.pdf [Último acceso: 06 abril 2015]. [25] Mycomputer « Página principal » ,23 febrero 2015 [En línea]. Available: http://www.muycomputer.com/2015/02/23/mac-os-x-ios-y-linux-son-mas-vulnerables-que-windows [Último acceso: 26 marzo 2015]. [26] NIST « Página principal » ,12 marzo 2015 [En línea]. Available: https://nvd.nist.gov/home.cfm [Último acceso: 26 marzo 2015].
GRACIAS

Recomendados

Plan de seguridad
Plan de seguridad Plan de seguridad
Plan de seguridad Pedro Cobarrubias
 
Gestión de identidad y eSSO - Oracle Enterprise
Gestión de identidad y eSSO - Oracle Enterprise Gestión de identidad y eSSO - Oracle Enterprise
Gestión de identidad y eSSO - Oracle Enterprise Nextel S.A.
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Comparacion entre sistemas operativos celulares
Comparacion entre sistemas operativos celularesComparacion entre sistemas operativos celulares
Comparacion entre sistemas operativos celularesLENIN_PATRICIO
 
Act19
Act19Act19
Act19karinaaura
 
Business solutions
Business solutionsBusiness solutions
Business solutionsBush NAJERA CAMPOS
 
Seguridad de los sistemas y aplicaciones
Seguridad de los sistemas y aplicacionesSeguridad de los sistemas y aplicaciones
Seguridad de los sistemas y aplicacionesAndres Ne Con
 
Eset nod 32
Eset nod 32Eset nod 32
Eset nod 32Flakyta Linda
 

Recomendados

Plan de seguridad
Plan de seguridad Plan de seguridad
Plan de seguridad Pedro Cobarrubias
 
Gestión de identidad y eSSO - Oracle Enterprise
Gestión de identidad y eSSO - Oracle Enterprise Gestión de identidad y eSSO - Oracle Enterprise
Gestión de identidad y eSSO - Oracle Enterprise Nextel S.A.
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Comparacion entre sistemas operativos celulares
Comparacion entre sistemas operativos celularesComparacion entre sistemas operativos celulares
Comparacion entre sistemas operativos celularesLENIN_PATRICIO
 
Act19
Act19Act19
Act19karinaaura
 
Business solutions
Business solutionsBusiness solutions
Business solutionsBush NAJERA CAMPOS
 
Seguridad de los sistemas y aplicaciones
Seguridad de los sistemas y aplicacionesSeguridad de los sistemas y aplicaciones
Seguridad de los sistemas y aplicacionesAndres Ne Con
 
Eset nod 32
Eset nod 32Eset nod 32
Eset nod 32Flakyta Linda
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsappS2 Grupo · Security Art Work
 
iOS
iOSiOS
iOSJuaniito Arteaga
 
iOS
iOSiOS
iOSDaniel Martínez
 
Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)Albert Marques
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Presentación ios
Presentación iosPresentación ios
Presentación iosGrazz Monrroy Sevilla
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013S2 Grupo · Security Art Work
 
LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15S2 Grupo · Security Art Work
 
Training apple
Training appleTraining apple
Training appleAgussanabria1
 
iOS d'estar per casa - Jornades Apple 2011 Ulldecona
iOS d'estar per casa - Jornades Apple 2011 UlldeconaiOS d'estar per casa - Jornades Apple 2011 Ulldecona
iOS d'estar per casa - Jornades Apple 2011 UlldeconaRaimon Lapuente
 
Sistema Opreativo IOS
Sistema Opreativo IOSSistema Opreativo IOS
Sistema Opreativo IOSAntonioBarraganCasas
 
Introducción Curso iOS
Introducción Curso iOSIntroducción Curso iOS
Introducción Curso iOSbrainybogota
 
iOS
iOSiOS
iOSFer B. Perez
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Mobile Day - Desarrollo Apple Watch con Xamarin
Mobile Day - Desarrollo Apple Watch con XamarinMobile Day - Desarrollo Apple Watch con Xamarin
Mobile Day - Desarrollo Apple Watch con XamarinSoftware Guru
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativosMaz Maz Mx
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosEventos Creativos
 
Desarrollo en iOS devacademy
Desarrollo en iOS devacademyDesarrollo en iOS devacademy
Desarrollo en iOS devacademyRodrigo Ayala
 
Sistema operativo ios
Sistema operativo iosSistema operativo ios
Sistema operativo iosMaria C Velandia G
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móvilesHacking Bolivia
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccionGeorgy Jose Sanchez
 

Más contenido relacionado

Destacado

Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)Albert Marques
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
iOS d'estar per casa - Jornades Apple 2011 Ulldecona
iOS d'estar per casa - Jornades Apple 2011 UlldeconaiOS d'estar per casa - Jornades Apple 2011 Ulldecona
iOS d'estar per casa - Jornades Apple 2011 UlldeconaRaimon Lapuente
 
Introducción Curso iOS
Introducción Curso iOSIntroducción Curso iOS
Introducción Curso iOSbrainybogota
 
Mobile Day - Desarrollo Apple Watch con Xamarin
Mobile Day - Desarrollo Apple Watch con XamarinMobile Day - Desarrollo Apple Watch con Xamarin
Mobile Day - Desarrollo Apple Watch con XamarinSoftware Guru
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativosMaz Maz Mx
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosEventos Creativos
 
Desarrollo en iOS devacademy
Desarrollo en iOS devacademyDesarrollo en iOS devacademy
Desarrollo en iOS devacademyRodrigo Ayala
 

Destacado (20)

Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
iOS
iOSiOS
iOS
 
iOS
iOSiOS
iOS
 
Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened Edition
 
Presentación ios
Presentación iosPresentación ios
Presentación ios
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013
 
LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15
 
Training apple
Training appleTraining apple
Training apple
 
iOS d'estar per casa - Jornades Apple 2011 Ulldecona
iOS d'estar per casa - Jornades Apple 2011 UlldeconaiOS d'estar per casa - Jornades Apple 2011 Ulldecona
iOS d'estar per casa - Jornades Apple 2011 Ulldecona
 
Sistema Opreativo IOS
Sistema Opreativo IOSSistema Opreativo IOS
Sistema Opreativo IOS
 
Introducción Curso iOS
Introducción Curso iOSIntroducción Curso iOS
Introducción Curso iOS
 
iOS
iOSiOS
iOS
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Mobile Day - Desarrollo Apple Watch con Xamarin
Mobile Day - Desarrollo Apple Watch con XamarinMobile Day - Desarrollo Apple Watch con Xamarin
Mobile Day - Desarrollo Apple Watch con Xamarin
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en ios
 
Desarrollo en iOS devacademy
Desarrollo en iOS devacademyDesarrollo en iOS devacademy
Desarrollo en iOS devacademy
 
Sistema operativo ios
Sistema operativo iosSistema operativo ios
Sistema operativo ios
 

Similar a Presentacion segi seminario_yisell

Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móvilesHacking Bolivia
 
DesempeñO Y Seguridad
DesempeñO Y SeguridadDesempeñO Y Seguridad
DesempeñO Y Seguridadmartin
 
DesempeñO Y Seguridad
DesempeñO Y SeguridadDesempeñO Y Seguridad
DesempeñO Y Seguridadmartin
 
Correlacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMCorrelacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMJosé Moreno
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesAlejandro Otegui
 
Seguridad en SIstemas Operativos *Nix
Seguridad en SIstemas Operativos *NixSeguridad en SIstemas Operativos *Nix
Seguridad en SIstemas Operativos *NixJosé Moreno
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticawalteraguero
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosRichard J. Nuñez
 
Tutorial isa server 2006
Tutorial isa server 2006Tutorial isa server 2006
Tutorial isa server 2006Edain Custodio
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanishTommy Clive
 
Fundamentos de seguridad y tecnologías de seguridad
Fundamentos de seguridad y tecnologías de seguridadFundamentos de seguridad y tecnologías de seguridad
Fundamentos de seguridad y tecnologías de seguridadSianPealoza
 
exposición sandra gaytan 1B
exposición sandra gaytan 1Bexposición sandra gaytan 1B
exposición sandra gaytan 1Bsandragaytan18
 
Seguridad Perimetral
Seguridad PerimetralSeguridad Perimetral
Seguridad PerimetralJosé Moreno
 

Similar a Presentacion segi seminario_yisell (20)

Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móviles
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
 
DesempeñO Y Seguridad
DesempeñO Y SeguridadDesempeñO Y Seguridad
DesempeñO Y Seguridad
 
DesempeñO Y Seguridad
DesempeñO Y SeguridadDesempeñO Y Seguridad
DesempeñO Y Seguridad
 
Correlacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMCorrelacionador de Eventos OSSIM
Correlacionador de Eventos OSSIM
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
Unidad 7
Unidad 7Unidad 7
Unidad 7
 
Seguridad en SIstemas Operativos *Nix
Seguridad en SIstemas Operativos *NixSeguridad en SIstemas Operativos *Nix
Seguridad en SIstemas Operativos *Nix
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informática en software privativa
Seguridad informática en software privativaSeguridad informática en software privativa
Seguridad informática en software privativa
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas Operativos
 
Tutorial isa server 2006
Tutorial isa server 2006Tutorial isa server 2006
Tutorial isa server 2006
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
Tutorial ISA Server
Tutorial ISA ServerTutorial ISA Server
Tutorial ISA Server
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanish
 
Fundamentos de seguridad y tecnologías de seguridad
Fundamentos de seguridad y tecnologías de seguridadFundamentos de seguridad y tecnologías de seguridad
Fundamentos de seguridad y tecnologías de seguridad
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activos
 
exposición sandra gaytan 1B
exposición sandra gaytan 1Bexposición sandra gaytan 1B
exposición sandra gaytan 1B
 
Seguridad Perimetral
Seguridad PerimetralSeguridad Perimetral
Seguridad Perimetral
 

Presentacion segi seminario_yisell

  • 1.
  • 2. Contenido • INTRODUCCIÓN • MARCO TEÓRICO • ANÁLISIS DE VULNERABILIDADES DE ANDROID • SOFTWARE MALICIOSO REGISTRADO PARA ANDROID 2012- 2013 • ANÁLISIS DE VULNERABILIDADES DE APPLE IOS • SOFTWARE MALICIOSO REGISTRADO PARA APPLE IOS • EJECUCIÓN DE UNA DISTRIBUCIÓN LINUX PARA ANÁLISIS DE VULNERABILIDADES • CONCLUSIONES • BIBLIOGRAFIA
  • 5. ANÁLISIS DEL SISTEMA OPERATIVO ANDROID Este sistema operativo fue creado para ejecutar aplicaciones en dispositivos móviles, está basado en Linux, Middleware y aplicaciones centrales. Para realizar un análisis de vulnerabilidades en este sistema operativo, es preciso identificar su arquitectura y las medidas de seguridad que implementa. A continuación se muestra una ilustración de la arquitectura del sistema operativo Android.
  • 6. Figura 1. Arquitectura del Sistema Operativo de Android Esta arquitectura es denominada arquitectura de pila en donde cada capa utiliza servicios ofrecidos por los anteriores y a su vez los suyos propios a las capas de niveles superiores. Tomada de: http://es.wikipedia.org/wiki/Android
  • 7. Medidas de seguridad Android Kernel Entorno de desarrollo Mecanismos de seguridad específicos del framework Redes del sistema
  • 8. Medidas de seguridad Android-Kernel Esta interfaz se encarga de asignar un User ID a cada aplicación al momento de ser instalada, y las aplicaciones que tienen distintos User ID por defecto, no pueden interactuar entre sí a menos que tengan privilegios para hacerlo y tienen acceso limitado al sistema operativo, para compartir un User ID, las aplicaciones deberán declarar el valor sharedUserID y tener la misma firma digital. Para el caso de los archivos también existe algo similar, a cada archivo se le asocia un owner-user y group-ID y tres tuplas de permisos de lectura, escritura y ejecución. Esto es basado en el mecanismo de permisos de sistemas Linux DAC (Discretionary Access Control). Las medidas de seguridad basadas en el kernel, se tipifican en dos El POSIX: (Portable Operating System Interface) El acceso a archivos y almacenamiento
  • 9. Medidas de seguridad Android-Kernel Sólo el kernel y algunas aplicaciones core de Android corren con permisos root. Sin embargo, el usuario puede modificar esta configuración. Dentro del dispositivo el sistema utiliza encripción de tipo SHA256 O AES128 para prevenir el uso no autorizado de información almacenada.
  • 10. Medidas de seguridad Android-basadas en el entorno de desarrollo • Son de carácter “type-safe” en donde las variables tienen un formato específico que garantiza que no puedan ser usadas malintencionadamente para provocar daños en la memoria, esto debido a que las aplicaciones son desarrolladas en lenguaje Java y los datos que utiliza son definidos en tiempo de complicación • Otra de las medidas que se basa en el entorno de desarrollo es el componente MMU (Memory Management Unit) que trabaja directamente con direcciones de memoria, en donde asigna distintos espacios de memoria a diferentes procesos, evitando que estos procesos sean leídos por otros procesos y pueda dañarse la memoria • Este componente garantiza la disponibilidad y confidencialidad de los procesos ejecutados por el sistema.
  • 11. Medidas de seguridad Android-basadas en las redes del sistema Utiliza mecanismos de autenticación de pertenencia en donde la tarjeta inteligente SIM card posee la información del usuario y del operador
  • 12. Medidas de seguridad Android- Mecanismos de seguridad del framework La firma digital, que se exige como requerimiento para todas las aplicaciones que se instalan. Al instalar una aplicación, el Package Manager verifica la validez del certificado y que la clave usada para firmar la aplicación coincida con la proporcionada en el certificado. El MAC (Mandatory Access Control) se encarga de asignar los permisos de las aplicaciones que se instalan en el dispositivo, una vez que se asignen estos permisos, la aplicación no puede acceder a los permisos denegados ni intentar volverlos a pedir. Estos permisos son etiquetados o clasificados dependiendo de su nivel de seguridad (normal, dangerous, signature, signatureOrSystem).
  • 13. Vulnerabilidades Android De almacenamiento Instalación, actualización y permisos de aplicaciones CPUBibliotecas Kernel Las vulnerabilidades de este sistema operativo, se pueden hallar al revisar estas medidas de seguridad y la arquitectura del sistema operativo dando así las siguientes vulnerabilidades más predominantes del sistema
  • 14. Vulnerabilidades Android A continuación se presentan 9 vulnerabilidades del sistema operativo Android de mayor afectación entre el 2011 y el 2015, clasificadas de mayor a menor puntuación según el estándar de nombres de vulnerabilidades de la seguridad de la información CVE (Common Vulnerabilities and Exposures).
  • 15. CVE-2015-1474- Atacantes obtienen privilegios o causan una denegación de servicio (corrupción de memoria ) provocando un número de gran tamaño. CVE-2011-2344 Permite a atacantes remotos obtener privilegios y acceder a fotografías privadas y álbumes web CVE-2013-4787 No comprueba correctamente firmas criptográficas para las aplicaciones , lo que permite a los atacantes ejecutar código arbitrario
  • 16. CVE-2010-1807- Permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (caída de aplicación) a través de un documento HTML manipulado CVE-2013-4710 No aplica correctamente la clase WebView , que permite a atacantes remoto para ejecutar métodos arbitrarios de objetos Java CVE-2013-6271 Atacantes eluden restricciones de acceso previstos y eliminar los bloqueos de dispositivos a través de una aplicación diseñada
  • 17. CVE-2011-3918- Permite a atacantes remotos causar una denegación de servicio ( bucle de reinicio ) a través de una aplicación diseñada. CVE-2013-6770 Permite a atacantes ganar privilegios mediante el aprovechamiento de la cáscara ADB acceso y una cierta Linux UID , y luego crear un script caballo de Troya CVE-2014-8507 Permite a atacantes remoto ejecutar comandos SQL de su elección, y por lo tanto ponen en marcha una actividad o servicio
  • 21. ANÁLISIS DEL SISTEMA OPERATIVO APPLE IOS Este sistema operativo fue creado para ejecutar aplicaciones en dispositivos marca Apple, inicialmente para el ipod, posteriormente iphone, ipod touch, ipad y AppleTV, este sistema operativo está basado en Unix específicamente en Darwin BSD. Para realizar un análisis de vulnerabilidades en este sistema operativo, es preciso identificar su arquitectura y las medidas de seguridad que implementa.
  • 22. ANÁLISIS DEL SISTEMA OPERATIVO APPLE IOS • Esta arquitectura es denominada arquitectura por capas, en donde las capas de mayor nivel contienen los servicios y tecnologías más importantes para el desarrollo de aplicaciones, y las capas más bajas controlan los servicios básicos. FIGURA 4. Arquitectura del sistema operativo Apple IOS Tomada de: https://sites.google.com/site/tecnologiaiostm/desarrollo-de-aplicaciones/arquitectura-ios
  • 23. Medidas de seguridad Apple IOS Del sistema De los datos que almacena De los datos que son enviados a través de las redes De las aplicaciones
  • 24. Medidas de seguridad IOS-Del sistema Están diseñadas para que tanto el software y el hardware sean seguros a través de componentes básicos de todos los dispositivos IOS. Esto incluye el proceso de arranque, el seguro enclave, el touch ID y el software de actualizaciones para asegurar que el hardware y el software funcionan óptimamente juntos y utilizando adecuadamente los recursos.
  • 25. Medidas de seguridad IOS-De las Aplicaciones • Están orientadas por capas de protección para garantizar que las aplicaciones son firmadas y verificadas, lo que incluye la firma código de la aplicación, la seguridad del proceso en tiempo de ejecución, extensiones, protección de datos en aplicaciones, grupos de aplicaciones, accesorios, homeKit y healthKit.
  • 26. Medidas de seguridad IOS-De las Aplicaciones Para que una aplicación sea considerada válida y pueda ser distribuida oficialmente a través de la App Store de Apple debe haber sido firmada digitalmente por su desarrollador, mediante un certificado digital válido emitido por Apple y asociado al programa de desarrolladores de iOS
  • 27. Medidas de seguridad IOS- Datos (Almacenados y enviados a través de la red)
  • 28. Vulnerabilidades Apple IOS Las vulnerabilidades de este sistema operativo, se pueden hallar al revisar estas medidas de seguridad y la arquitectura del sistema operativo dando así las siguientes vulnerabilidades más predominantes del sistema:
  • 29. Vulnerabilidades Apple IOS A continuación se presentan 9 vulnerabilidades del sistema operativo Apple IOS de mayor afectación entre el 2008 y el 2015, clasificadas de mayor a menor puntuación según el estándar de nombres de vulnerabilidades de la seguridad de la información CVE (Common Vulnerabilities and Exposures).
  • 30. CVE-2008-4211- Permite a atacantes remotos provocar una denegación de servicio (cierre de la aplicación) y ejecutar código arbitrario a través de un archivo de Microsoft Excel diseñado. CVE-2009-2204 Permite a atacantes remotos ejecutar código arbitrario, obtener coordenadas de GPS, o activar el micrófono a través de un mensaje SMS que provoca daños en la memoria. CVE-2010-1119 Permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio ( caída de aplicación) , o leer la base de datos de SMS u otros datos , a través de vectores
  • 31. CVE-2010-1809 No realiza el anuncio VoiceOver esperada asociada con el icono de los servicios de localización, que tiene vectores de impacto y de ataque no especificados. CVE-2012-5112 Vulnerabilidad en la implementación de SVG en WebKit , tal como se utiliza en Google Chrome 22.0.1229.94 antes , permite a atacantes remotos ejecutar código arbitrario a través de vectores no especificados. CVE-2014-1356 Permite a atacantes ejecutar código arbitrario a través de una aplicación diseñada que envía mensajes IPC.
  • 32. CVE-2014-1357 Permite a atacantes ejecutar código arbitrario a través de una aplicación diseñada que genera mensajes de registro. CVE-2014-4480 Permite a los atacantes acceder a ubicaciones del sistema de archivos no deseados mediante la creación de un enlace simbólico. CVE-2014-4486 No maneja correctamente las listas de recursos y tipos userclient IOService , que permite a los atacantes ejecutar código arbitrario o causar una denegación de servicio (NULL referencia a un puntero ) a través de una aplicación diseñada.
  • 33. SOFTWARE MALICIOSO REGISTRADO PARA APPLE IOS Nombre Hallazgo Presunto Origen Proceso utilizado Tipo iOS/Trapsms.A!tr.spy June 2009 Russia? Jailbroken SMS Forwarder Spy/MobileSpy!iPhoneOS Aug 2009 USA Jailbroken Spyware iOS/Eeki.A!worm nov-09 Australia (Ashley Towns) Jailbroken Worm Proof of Concept iOS/Eeki.B!worm nov-09 The Netherlands Jailbroken Mobile banking malware iOS/Toires.A!tr.spy nov-09 Switzerland (Nicolas Seriot) Any (jailbroken or not) Rogue application - Proof Of Concept
  • 34. SOFTWARE MALICIOSO REGISTRADO PARA APPLE IOS Nombre Hallazgo Presunto Origen Proceso utilizado Tipo Adware/LBTM!iOS sep-10 France Any (jailbroken or not) - Was found (and removed) in the official AppStore Call premium phone number Spy/iKeyGuard!iPhoneOS Apr 2011 Czech Rep. Jailbroken Keylogger iOS/FindCall.A!tr.spy July 2012 Russia? Any (jailbroken or not) - Was found (and removed) in the official AppStore Privacy trojan Riskware/Killmob!iOS July 2013 USA Jailbroken Spyware iOS/AdThief.A!tr mar-14 China Jailbroken Ad revenue hijacking
  • 35. EJECUCIÓN DE UNA DISTRIBUCIÓN LINUX PARA ANÁLISIS DE VULNERABILIDADES Santoku es una distribución Linux basada en MobiSec especializada en pruebas de seguridad, análisis de malware y análisis forenses para teléfonos móviles, válida para dispositivos con Android, BlackBerry, iOS y Windows Phone.
  • 37. IOS
  • 38. EJECUCIÓN DE UNA DISTRIBUCIÓN LINUX PARA ANÁLISIS DE VULNERABILIDADES 0% 10% 20% 30% 40% 50% 60% 70% 80% seguridad SSL fallida seguridad en contraseñas datos de aplicaciones confidenciales almacenados en la memoria por lo menos una " alta " calificación de riesgo 20% 18% 45% 59% 15% 25% 65% 75% Android IOS
  • 39. CONCLUSIONES • Según el estándar de nombres de vulnerabilidades de la seguridad de la información CVE (Common Vulnerabilities and Exposures) entre el 2011 y el 2015, el sistema operativo Android tiene una página con 42 vulnerabilidades registradas con grado de afectación entre el 2,6 y 10,0 en una escala del 0 al 10. Mientras que el sistema operativo Apple IOS tiene 8 páginas con más de 400 vulnerabilidades registradas con grado de afectación entre el 1,2 y 10,0 en una escala del 0 al 10.
  • 40. CONCLUSIONES Los cibercriminales están dedicando más esfuerzos a desarrollar software malicioso dirigido a tablets y smartphones, especialmente a los dispositivos Android. La naturaleza de plataforma abierta del sistema operativo Android, la facilidad con la que se pueden crear las aplicaciones y la amplia variedad de mercados de aplicaciones (no oficiales) que existen influyen de manera significativa en la seguridad. En general, tanto Android como iOS son sistemas operativos excepcionalmente seguros. Ambos apuestan por medidas de seguridad activadas por defecto. El enfoque, sin embargo, difiere en algunos puntos, sobre todo en el del control de las funciones.
  • 41. IOS ANDROID iOS posee mayor cantidad de vulnerabilidades registradas a cambio de renunciar a algunas libertades que el usuario puede valorar mucho, como la posibilidad mover datos fácilmente o instalar aplicaciones no-oficiales, los usuarios renuncian a una mayor libertad a cambio de pensar menos en la seguridad debido al menor numero de ataques. Android, por otro lado, tiene menos vulnerabilidades registradas, el cifrado de datos lo realiza vía software, lo que ocasiona que disminuya su rendimiento, contrario de lo que hace Apple, que cifra vía hardware. Con Android, el usuario debe tener conciencia de lo que hace con su dispositivo debido al gran número de software malicioso que se genera cada día.
  • 42. Bibliografía [1] Poderpda, «Poderpda,» 26 septiembre 2012. [En línea]. Available: http://www.poderpda.com/plataformas/android/analisis-de-seguridad-de-symantec-de-ios- de-apple-y-android-de-google/. [Último acceso: 23 zomar 2015]. [2] Norton, «Norton Security,» 1 junio 2014. [En línea]. Available: http://co.norton.com/android-vs- ios/article. [Último acceso: 02 Marzo 2015]. [3] Wikipedia, «Wikipedia,» 27 marzo 2015. [En línea]. Available: http://co.norton.com/android-vs- ios/article. [Último acceso: 27 Marzo 2015]. [4] searchesdata center, « searchesdata center,» 2014. [En línea]. Available: http://searchdatacenter.techtarget.com/es/consejo/Android-vs-iOS-caracteristicas-politicas-y- controles-de-seguridad. [Último acceso: 15 Marzo 2015]. [5] sophos, « sophos » 2012[En línea]. Available: http://www.sophos.com/es-es/security-news- trends/security-trends/malware-goes-mobile/why-ios-is-safer-than-android.aspx. [Último acceso: 24 Febrero 2015]. [6] ESSET, « ESSET» 2014[En línea]. Available: http://www.eset- la.com/pdf/tendencias_2014_el_desafio_de_la_privacidad_en_internet.pdf [Último acceso: 24 Febrero 2015]. [7] xatka, « xatka » 16 Octubre 2014[En línea]. Available: http://www.xatakamovil.com/sistemas- operativos/mantiene-android-alguna-ventaja-sobre-ios-o-viceversa. [Último acceso: 12 Marzo 2015]. [8] Gurú de la informatica, 06 agosto 2014 [En línea]. Available: http://www.gurudelainformatica.es/2014/08/distribucion-ideal-para-analisis-de.html [Último acceso: 26 Marzo 2015].
  • 43. Bibliografía [9] HackPlayers, 14 julio 2014 [En línea]. Available : http://www.hackplayers.com/2014/07/vulnerabilidades-en-android-que-pueden- arruinarte.html [Último acceso: 27 Marzo 2015]. [10] Curesec, « BlogCuresec » 04 julio 2014 [En línea]. Available: http://www.blog.curesec.com[Último acceso: 28 Agosto 2014]. [11] Wikipedia, « Wikipedia» 24 marzo 2015 [En línea]. Available: http://es.wikipedia.org/wiki/POSIX [Último acceso: 27 Marzo 2015]. [12] Wikipedia, « Wikipedia» 24 marzo 2015 [En línea]. Available: http://en.wikipedia.org/wiki/Completely_Fair_Scheduler [Último acceso: 27 Marzo 2015]. [13] Fandroides, « Fandroides» 20 septiembre 2014 [En línea]. Available: http://www.fandroides.com/como-instalar-aplicaciones-android-en-chrome-para-windows-linux-y- mac/ [Último acceso: 20 Marzo 2015]. [14] Andorid Jefe, 7 abril 2014 [En línea]. Available: http://www.androidjefe.com/descargar- aplicaciones-google-play-pc/ [Último acceso: 17 Marzo 2015].
  • 44. Bibliografía [15] CVE, « CVE Details » 23 marzo 2015 [En línea]. Available: http://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/Google- Android.html [Último acceso: 17 Marzo 2015]. [16] Wikipedia, 8 enero 2015 [En línea]. Available: http://es.wikipedia.org/wiki/IOS [Último acceso: 27 Marzo 2015]. [17] Rollanwar, « Blog » 15 abril 2012 [En línea]. Available: http://rollanwar.blogspot.com/2012/04/evolucion-de-android-en-seguridad.html [Último acceso: 24 Febrero 2015]. [18] Instituo Nacional de Cyberseguridad, « INCIBE » 26 octubre 2012 [En línea]. Available: https://www.incibe.es/Proteccion/Configuraciones_seguras/Dispositivos_moviles/ [Último acceso: 05 Abril2015]. [19] Symantec, 23 agosto 2011 [En línea]. Available: http://www.symantec.com/es/mx/about/news/release/article.jsp?prid=20110823_01 [Último acceso: 06 Abril 2015]. [20] Kaspersky, 02 febrero 2015 [En línea]. Available: http://latam.kaspersky.com/sobre- kaspersky/centro-de-prensa/ultimas-noticias [Último acceso: 06 Abril 2015].
  • 45. Bibliografía [21] Fortinet, 09 junio 2014 [En línea]. Available: https://blog.fortinet.com/post/ios-malware-does- exist [Último acceso: 28 enero 2015]. [22] Eve Ingeniería de Sistemas « Blog » ,11 abril 2012 [En línea]. Available: http://eve-ingsistemas- u.blogspot.com/2012/04/sistemas-operativos-moviles-ios.html [Último acceso: 28 enero 2015]. [23] Apple « Página principal » ,octubre 2014 [En línea]. Available: http://www.apple.com/business/docs/iOS_Security_Guide.pdf [Último acceso: 4 abril 2015]. [24] Elconfidencialdigital , julio 2014 [En línea]. Available: http://www.elconfidencialdigital.com/Manual- CCN-seguridad-iPhone_ECDFIL20140910_0001.pdf [Último acceso: 06 abril 2015]. [25] Mycomputer « Página principal » ,23 febrero 2015 [En línea]. Available: http://www.muycomputer.com/2015/02/23/mac-os-x-ios-y-linux-son-mas-vulnerables-que-windows [Último acceso: 26 marzo 2015]. [26] NIST « Página principal » ,12 marzo 2015 [En línea]. Available: https://nvd.nist.gov/home.cfm [Último acceso: 26 marzo 2015].