Los tres pilares de la seguridad en Android

La seguridad es un aspecto clave de todo sistema. Si nos descargramos una aplicacin maliciosa de Internet o del Play Store, esta podra leer nuestra lista de contactos, averiguar nuestra posicin GPS, mandar toda esta informacin por Internet y terminar enviando 50 mensajes SMS. La seguridad es un aspecto clave de todo sistema. Si nos descargramos una aplicacin maliciosa de Internet o del Play Store, esta podra leer nuestra lista de contactos, averiguar nuestra posicin GPS, mandar toda esta informacin por Internet y terminar enviando 50 mensajes SMS. En algunas plataformas, como Windows Mobile, estamos prcticamente desprotegidos ante este tipo de aplicaciones. Por lo tanto, los usuarios han de ser muy cautos antes de instalar una aplicacin. En otras plataformas, como en iOS del iPhone, toda aplicacin ha de ser validada por Apple antes de poder ser instala en un telfono. Esto limita a los pequeos programadores y da un poder excesivo a Apple. Se trata de un planteamiento totalmente contrario al software libre. Android propone un esquema de seguridad que protege a los usuarios, sin la necesidad de imponer un sistema centralizado y controlado por una nica empresa. La seguridad en Android se fundamenta en los siguientes tres pilares: Como se coment en el primer captulo Android est basado en Linux, por lo tanto, vamos a poder aprovechar la seguridad que incorpora este SO. De esta forma Android puede impedir que las aplicaciones tengan acceso directo al hardware o interfieran con recursos de otras aplicaciones. Toda aplicacin ha de ser firmada con un certificado digital que identifique a su autor. La firma digital tambin nos garantiza que el fichero de la aplicacin no ha sido modificado. Si se desea modificar la aplicacin est tendr que ser firmada de nuevo, y esto solo podr hacerlo el propietario de la clave privada. No es preciso (ni frecuente) que el certificado digital sea firmado por una autoridad de certificacin. Si queremos que una aplicacin tenga acceso a partes del sistema que pueden comprometer la seguridad del sistema hemos de utilizar un modelo de permisos, de forma que el usuario conozca los riesgos antes de instalar la aplicacin.

El esquema de permisos en Android

Para proteger ciertos recursos y caractersticas especiales del hardware, Android define un esquema de permisos. Toda aplicacin que acceda a estos recursos est obligada a declarar su intencin de usarlos. En caso de que una aplicacin intente acceder a un recurso del que no ha solicitado permiso, se generar una excepcin de permiso y la aplicacin ser interrumpida inmediatamente. Cuando el usuario instala una aplicacin este podr examinar la lista de permisos que solicita la aplicacin y decidir si considera oportuno instalar dicha aplicacin. Veamos la descripcin de algunos permisos. Abajo se describe el esquema utilizado: NOMBRE_DEL_PERMISO Grupo al que pertenece descripcin del permiso que se mostrar al usuario antes de

instalar la aplicacin (grado de relevancia de seguridad a juicio del autor) Descripcin y comentarios. SEND_SMS Servicios por los que tienes que pagar envo SMS/MMS (muy alta) Permite a la aplicacin mandar SMS. Tu informacin personal leer datos de contacto (alta) Permiten leer informacin sobre el

READ_OWNER_DATA

propietario del telfono (nombre, correo electrnico, nmero de telfono). Muy peligroso, algunas aplicaciones podran utilizar esta informacin de forma no lcita. ACCESS_COARSE_LOCATION telefona mvil (Cel-ID) y Wi-Fi. Tu ubicacin ubicacin comn (basada en red) (moderada) Localizacin basada en

BLUETOOTH

Comunicacin de red crear conexin Bluetooth (baja) Conexin con otro dispositivo Bluetooth.

El 25% de las aplicaciones Android pueden generar problemas de seguridad

Casi un 25% de las aplicaciones Android tienen permisos que pueden generar vulnerabilidades de seguridad. As lo asegura un nuevo informe elaborado por TrustGo. En este informe sobre seguridad mvil para el ltimo trimestre de 2013, se detecta una evolucin continuada de las aplicaciones maliciosas y un riego permanente de los mercados a nivel mundial. En primer lugar, se observa un aumento dramtico de aquellas aplicaciones que no son convencionalmente con sideradas como maliciosas, pero que TrustGo cataloga como de alto riesgo. Si en el tercer trimestre haba 356.675 apps de este tipo, tres meses despus la cifra se sita en 511.043, lo que implica un incremento del 43,2%. Asimismo, el 21,1% de las apps disponibles contiene cdigo de alto riesgo que puede comprometer los datos personales de los usuarios, posibilitar pagos no autorizados o descargar aplicaciones no deseadas. En este sentido, los juegos son la categora en la que se engloba la mayor parte de las amenazas de alto riesgo, con ms de 178.000 apps o un 44,5% del total. Tambin destaca el peligro del sistema operativo Android, donde casi un 25% de las aplicaciones tienen permisos que pueden generar vulnerabilidades. Por mercados oficiales, la tienda de Aproov con base en Europa es la ms saneada con slo un 2% de contenido malicioso. Amazon App Store tambin ha conseguido una buena calificacin con slo el 7,5%. Google Play se sita como quinto mercado ms seguro, a pesar de que acoge ms de 60.000 aplicaciones de alto riego en su interior. Pero el mayor peligro se encuentra en China, cuyas app stores siguen siendo las ms contaminadas del mundo, con un 39,2% de apps con malware. Un claro ejemplo es Anzhi, donde tres cuartas partes de sus programas suponen una amenaza de seguridad para los usuarios. Fuente: Silicon News

El Universal - - Apps de Android con problemas de seguridad

De acuerdo con el reporte Anual de Seguridad de Cisco, el malware que se detect para el sistema operativo Android creci un 2577 por ciento durante 2012, esto lo coloca como el ms atacado, debido principalmente a que es una plataforma gratuita y cuenta con gran popularidad a nivel mundial. Incluso, el presidente de Google, Erich Schmidt asegur que es el sistema operativo ms utilizado a nivel mundial y que en slo 9 meses superaran las mil millones de activaciones. Sin embargo, a pesar de su popularidad, la seguridad sigue siendo el taln de Aquiles de Android. Informticos de la Universidad de Davis en California descubrieron fallos en la seguridad de varias aplicaciones para smartphones con el sistema de Google. Se trata de aplicaciones para chats o microblogs, inform hoy la escuela. Los informticos alertaron a los desarrolladores de estas funciones. Los fallos en la seguridad consisten en que queda al descubierto un cdigo de software utilizado por varias apps, explic el investigador Dennis Xu. "Es un fallo de los desarrolladores". El hueco es aprovechado cuando un usuario descarga el cdigo daino en su aparato, oculto por ejemplo en otra applicacin o en una web. Entonces, pueden quedar al descubierto datos o mensajes personales. Entre los desarrollos afectadas se encuentran, segn la institucin educativa, Handcent SMS, WeChat y Weibo, el equivalente a Twitter en China. Los investigadores quieren publicar los resultados de su estudio en octubre en la conferencia "Sistemas, programacin, lenguajes y aplicaciones: software para la humanidad (SPLASH)" en Indianpolis. Y es posible que el problema tambin exista en las aplicaciones para el sistema operativo iOS de Apple. Apps de Android con problemas de seguridad Investigadores descubren huecos en aplicaciones destinadas a brindar un servicio de microblogs y chats. Las aplicaciones afectadas son Handcent SMS, WeChat y Weibo, el equivalente a Twitter en China.

Fallo en aplicaciones Android propicia el robo de datos de los usuarios

Los fallos de seguridad siguen siendo una de las asignaturas pendientes en Android. Por lo general son aplicaciones con malware las que han dado quebraderos de cabeza a los usuarios, aunque en este caso se ha detectado un fallo que deja al descubierto datos privados de usuarios de aplicaciones legtimas. Nuestros compaeros de Redeszone.net se hacen eco de los resultados de la investigacin llevada a cabo en Alemania y que deja una preocupante conclusin: ms de un millar de aplicaciones de una muestra

de 13.000 para el sistema operativo mvil de Google son vulnerables y dejan expuestos datos de los usuarios que pueden ser robados. El problema que han detectado los investigadores tras analizar las aplicaciones con problemas de seguridad (de las que no han dado sus nombres) consiste en la mala implementacin del certificado SSL. De este modo se demuestra que la implementacin de este certificado no es per se garanta de seguridad absoluta, y es que el porcentaje de aplicaciones que lo incluyen pero que son vulnerables est en torno al 17%. Para comprobar que el millar de aplicaciones eran vulnerables enviaron certificados SSL firmados por ellos mismos y no por una autoridad vlida y stos fueron aceptados.

Mltiples servicios afectados

Entre las consecuencias de esta vulnerabilidad propiciada por los desarrolladores de aplicaciones que pueden encontrarse en Google Play est la exposicin de datos muy comprometidos que van desde los personales en Facebook, Twitter, Google o YouTube a informacin bancaria o de servicios como PayPal. Asimismo, la investigacin seala a "un conocido servicio de mensajera" que dejaba al descubierto los nmeros de telfono de los contactos de las agendas de los usuarios. La precaucin vuelve a ser la principal herramienta para combatir este problema de inseguridad en las aplicaciones Android. Dado que los investigadores han reseado que son muy pocos los usuarios que se preocupan por comprobar este tipo de certificados antes de utilizar las aplicaciones, es recomendable que a la hora de transmitir datos que queramos tener a buen recaudo optemos por otras vas ms seguras ms all del mvil o tablet. No obstante, recordemos que tambin contamos con la herramienta AndroGuard que verifica la seguridad de las aplicaciones en Android.