análisis de la seguridad y privacidad ofrecida por...
TRANSCRIPT
1
Análisis de la seguridad y privacidad ofrecida pordispositivos Android.
Laiphel Marco Gómez Trujillo
Directores de la Tesis:Dr. Francisco Rodríguez HenríquezDr. Luis Julián Domínguez Pérez
Departamento de computación, Cinvestav
Octubre, 2017
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
2
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Contenido
1 Introducción
2 Visión general de Android
3 Seguridad en Android
4 Problemas de seguridad en Android
5 Desarrollo y experimentación
6 Conclusiones y trabajo a futuro
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
3
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
ObjetivosMotivaciónPlanteamiento del problemaEstado del arte
1 Introducción
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
4
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
ObjetivosMotivaciónPlanteamiento del problemaEstado del arte
Objetivos
Objetivo generalEste trabajo consiste en analizar la información del usuario que se puede obtener de undispositivo Android y evaluar su privacidad y seguridad
Objetivos específicosConocer los trabajos relacionados al análisis de seguridad y privacidad de Android
Conocer los datos que se pueden conseguir a través del WiFi y Bluetooth
Evaluar la seguridad de los navegadores preinstalados, de la API de navegación yde las aplicaciones preinstaladas ante ataques de husmeo
Recuperar información del usuario eliminada
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
5
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
ObjetivosMotivaciónPlanteamiento del problemaEstado del arte
Motivación
Android es el sistema operativo móvil dominante para dispositivosmóviles y tabletas (tablets).
Los dispositivos móviles están expuestos a muchos de los riesgos quetiene una computadora personal [1] o inclusive más.
La actitud de los usuarios que utilizan Android hacia la seguridad desus dispositivos es abrumadoramente indiferente [2].
En Android, quien tiene el control del software y hardware de losdispositivos no es Google, sino los fabricantes.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
6
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
ObjetivosMotivaciónPlanteamiento del problemaEstado del arte
Planteamiento del problema
En el entorno de los móviles con Android los usuarios almacenan datospersonales e información susceptible que pueden quedar comprometi-dos.
Las principales amenazas a la seguridad en Android son:
El malware que se encuentra en las aplicacionesMantener encendidos los servicios de WiFi y Bluetooth en cualquierlugarConectarse a redes WiFi públicasLas vulnerabilidades existentes del sistema operativo.
Con el hecho de tener un dispositivo móvil, ya se está exponiendo enmenor o mayor grado la privacidad del usuario.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
7
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
ObjetivosMotivaciónPlanteamiento del problemaEstado del arte
Estado del arte
Los trabajos realizados por Marinakis et al. [3] y Ntagonian et al. [4] demuestranque las credenciales de autenticación pueden ser descubiertas en la memoria volátilde los dispositivos Android.
El trabajo de Ciurana et al. [5] hace un estudio de algunos mecanismos de seguri-dad en Android, enfocándose en la aplicación WhatsApp, la conectividad USB,los peligros de conectar los teléfonos en máquinas externas y la seguridad delcontrol de acceso.
Simon et al. [6] hace un análisis referente al reinicio de datos de fábrica de Android,buscando si es posible recuperar datos que estaban almacenados antes del citadoreinicio.
Eom et al. [7] muestra el riesgo de conectar los teléfonos inteligentes a puntos deacceso inalámbricos públicos o desconocidos porque en estos entornos un ataquede intruso de en medio (Man In The Middle Attack) es posible.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
8
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Versiones de AndroidArquitectura de AndroidAplicaciones
2 Visión general de Android
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
9
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Versiones de AndroidArquitectura de AndroidAplicaciones
¿Qué es Android?
Android es un sistema operativo de código abierto para dispositivosmóviles, basado en el kernel Linux, desarrollado por Google y por la OpenHandset Alliance (OHA).
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
10
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Versiones de AndroidArquitectura de AndroidAplicaciones
La mayor parte de la plataforma es de código abierto y es desarrollada bajoel uso del Android Open Source Project (AOSP) [1].
Por otro lado, existen componentes de esta plataforma que son de códigocerrado. Como el cargador de arranque, el firmware periférico, compo-nentes de radio y algunas aplicaciones [8].
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
11
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Versiones de AndroidArquitectura de AndroidAplicaciones
Versiones de Android
Desde su lanzamiento comercial en el año 2008, han salidodiferentes versiones de esta plataforma por lo general cada año.
NÚMERO DEVERSIÓN
NOMBRE CÓDIGO NIVEL DE API AÑO DE LAN-ZAMIENTO
1.0 Alpha 1 20081.1 Beta 2 20091.5 Cupcake 3 20091.6 Donut 4 20092.0-2.1 Eclair 5-7 20092.2-2.2.3 Froyo 8 20102.3-2.3.7 Gingerbread 9-10 20103.0-3.2.6 Honeycomb 11-13 20114.0-4.0.4 Ice Cream Sandwich 14-15 20114.1-4.3.1 Jelly Bean 16-18 20124.4-4.4.4 KitKat 19 20135.0-5.1.1 Lollipop 21-22 20146.0-6.0.1 Marshmallow 23 20157.0-7.1.1 Nougat 24-25 20168.0 Oreo 26 2017
Table : Versiones de AndroidLaiphel M. Gómez Trujillo Departamento de computación. Cinvestav
12
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Versiones de AndroidArquitectura de AndroidAplicaciones
Arquitectura de Android
La arquitectura de Android se constituye de una serie de componentes quese ajustan a un modelo de capas.
Kernel Linux
Capa de Abstracción de Hardware (HAL)
Bibliotecas Android Runtime
Framework de aplicaciones
AplicacionesMenú principal Teléfono SMS/MMS Navegador Cámara
Contactos Alarma Calculadora Reloj
Controlador de pantalla
Controlador de cámara
Controlador de Bluetooth
Controlador de memoria
compartida
Controlador Binder IPC
ControladorUSB
Controlador deteclado
Controlador deWiFi
Controlador deaudio
Administraciónde energía
Gráficos Cámara Bluetooth GPS Radio WiFi
SurfaceManager
Mediaframework
SQLite Webkit Libc
OpenGL IES
AudioManager
FreeType OpenSSL ...
Bibliotecas nativas
Máquina Virtual Dalvik
...
...
Activity Manager
Window Manager
Content Providers
View System NotificationManager
Package Manager
TelephonyManager
ResourceManager
Location Manager
Figure : Arquitectura de Android
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
13
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Versiones de AndroidArquitectura de AndroidAplicaciones
Aplicaciones
Las aplicaciones son las entidades con las que hay una interacción directa entre el usuarioy Android para realizar una función específica. Se integra de los siguientes componentes.
Actividades.Archivo manifiesto.Intentos (Intents).Broadcast receivers.Proveedores de contenido.Servicios.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
14
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Usuarios y modelo de permisosCifrado en Android (Cifrado de Disco Completo)Restablecimiento de fábrica
3 Seguridad en Android
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
15
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Usuarios y modelo de permisosCifrado en Android (Cifrado de Disco Completo)Restablecimiento de fábrica
Seguridad en Android
De acuerdo con la AOSP [9], Android ofrece un entorno donde seprotegen los servicios de confidencialidad, integridad y disponi-bilidad del sistema operativo, de los usuarios y de las aplica-ciones.La arquitectura de Android está diseñada para que cada capaasuma que la capa anterior está protegida de manera apropiada.Android ha adoptado muchos mecanismos de seguridad de Linux
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
16
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Usuarios y modelo de permisosCifrado en Android (Cifrado de Disco Completo)Restablecimiento de fábrica
Seguridad en AndroidUsuarios y modelo de permisos
UsuariosEn Android, un usuario es una aplicación y cada aplicación poseé undiferente identificador ID [10].
PermisosCada aplicación solamente tiene acceso a los recursos que va a nece-sitar. Si las aplicaciones necesitan usar recursos del sistema o datosde otras aplicaciones, deberán hacerlo a través de los permisos [11].
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
17
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Usuarios y modelo de permisosCifrado en Android (Cifrado de Disco Completo)Restablecimiento de fábrica
El modelo de permisos consiste en determinar lo que una aplicaciónpuede realizar en el sistema a través de un permiso [12].
Los permisos de una aplicación se ubican en el archivo manifiesto
Figure : Permisos en el archivo manifiesto
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
18
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Usuarios y modelo de permisosCifrado en Android (Cifrado de Disco Completo)Restablecimiento de fábrica
Cifrado en Android (Cifrado de Disco Completo)
Para realizar el CDC, Android utiliza el subsistema dm-crypt deLinux implementando así cifrado de disco transparente.
El cifrado se hace con AES-128 modo CBC y ESSIV:SHA256Las llaves de cifrado se encuentran en:
Los metadatos (/efs/metadata)El cripto_footer
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
19
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Usuarios y modelo de permisosCifrado en Android (Cifrado de Disco Completo)Restablecimiento de fábrica
Restablecimiento de fábrica
También llamado borrado seguro, consiste en realizar un borrado de losdatos y aplicaciones del usuario. Existen dos maneras de realizarlo:
Desde el recovery Desde el menú configuración
Durante el restablecimiento, se borran las particiones /data, /sdcard y/cache
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
20
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Usuarios y modelo de permisosCifrado en Android (Cifrado de Disco Completo)Restablecimiento de fábrica
Proceso de borrado en Android
El almacenamiento secundario en Android es la memoria flash
La memoria flash está soportada con la arquitectura eMMC (Embed-ded MultiMedia Card)
eMMC proporciona al sistema operativo una vista lógica de lamemoriaEsta vista está dividida en bloques lógicos
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
21
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Usuarios y modelo de permisosCifrado en Android (Cifrado de Disco Completo)Restablecimiento de fábrica
Proceso de borrado en Android
Con los comandos de eMMC, SECURE TRIM y SECURE ERASE,se realiza un borrado de la memoria.Con el comando de eMMC SANITIZE se proporciona saniti-zación digital.El borrado de la información en Android se realiza con llamadasa ioctl().
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
22
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Problemas con la API de navegación (WebView)
4 Problemas de seguridad en Android
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
23
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Problemas con la API de navegación (WebView)
Problema con el borrado de información
Un problema que existe en el borrado de algunas particiones de lamemoria está en que se ocupa la opción BLKDISCARD, porque noproporciona sanitización.
Esto es porque se activan los comandos de eMMC DISCARD y TRIM.
Por lo tanto, los datos “borrados” aún están en flash.
Se puede recuperar datos eliminados con técnicas de tallado de archivos(Data Carving).
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
24
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Problemas con la API de navegación (WebView)
Información del bluetooth
A través de esta tecnología se puede robar y manipular informacióndel usuario [13], [14].
La información que se puede obtener de un dispositivo bluetooth sonlos metadatos de los archivos que se envían o reciben, la cuál seencuentra en:
La base de datos btopp.dbLa bitácora btsnoop_hci.log
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
25
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Problemas con la API de navegación (WebView)
Inseguridad en el servicio de WiFi
Cuando los dispositivos Android están conectados a una red inalámbrica, puedetransmitir datos confidenciales, que pueden ser interceptados por un atacante, siéste está husmeando (sniffing) en la red, realizando Ataques de Intruso de enMedio (Man In The Middle Attack, MITM).
(a) (b)
Figure : Modelo general de un ataque de husmeo: (a) Punto de Acceso Malicioso oIlegítimo; (b) Punto de Acceso Deshonesto o Falso con el mismo SSID de la redlegítima, en este caso PAA123
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
26
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Problemas con la API de navegación (WebView)
Inseguridad en el servicio de WiFi
Es posible monitorear la información que sale y entra de un dispositivo, incluso siestá cifrada.
Se puede degradar la comunicación HTTPS a HTTP con un punto de accesofalso [15] [12].
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
27
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Problemas con la API de navegación (WebView)
Problemas con la API de navegación (WebView)
Webview es la API de navegación que permite desplegar contenido weben las aplicaciones. Webview y los navegadores preinstalados usan losmotores de renderizado del sistema (webkit y chromium).
Webview está expuesto a los mismos ataques que los navegadores deescritorio como son Inyección SQL, Cross-Site Scripting, Inyección HTMLy Phishing [16].
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
28
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
5 Desarrollo y experimentación
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
29
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Desarrollo y experimentación
Se realizaron pruebas de la seguridad de algunos mecanismos de lossiguientes dispositivos Android:
Sony Xperia SP C5306 con la versión 4.3 (Jelly Bean)Tableta Dell Venue 7 con la versión 4.4 (Kitkat)Samsung Galaxy Grand Prime con la versión 5.1 (Lollipop)Motorola Moto G cuarta generación con la versión 6.0.1 (Marsh-mallow)
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
30
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Recuperación de información eliminada
Los dispositivos se llenaron de datos como fotos, videos, contactos,entre otros y se eliminó con el borrado normal y el restablecimientode fábrica.
Fue necesario extraer la imágen de la memoria flash del dispos-itivo.Se realizaron técnicas de tallado de archivos.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
31
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Recuperación del borrado normal y de fábrica
Se pudo recuperar parte de la información que se había eliminado, princi-palmente:
Imágenes
Documentos PDF
Nombres de contactos
Números telefónicos
Información relacionadaal historial de nave-gación
Capturas de algunosvídeos
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
32
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Recuperación de Metadatos de archivos eliminados
Un aspecto a destacar en la información de un archivo son sus metadatos.En algunos archivos, se lograron rescatar sus metadatos, principalmente enlos archivos PDF.
Figure : Metadatos de archivo PDF recuperado.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
33
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Recuperación de información en el Bluetooth
Se enviaron archivos por bluetooth entre dos dispositivos y posterior-mente se eliminaron.
Luego se obtuvieron la bitácora btsnoop_hci.log y base de datosbtopp.db.
Figure : Bases de datos btopp.db de archivos enviados y recibidoseliminados
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
34
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Se obtuvieron metadatos de los archivos enviados/recibidoseliminados durante la revisión de la bitácora.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
35
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Consumo de recursos de aplicaciones
Se realizó una medición del consumo de memoria RAM y CPU que con-sumen las aplicaciones preinstaladas de los fabricantes de los cuatro dispos-itivos, para verificar si estas aplicaciones realizaban un consumo excesivoque fuera sospechoso.
Durante este proceso, se registraron los eventos que generaban lasaplicaciones con el comando logcat de adb
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
36
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Consumo de recursos de aplicaciones: Observaciones
La aplición Facebook del dispositivo con Jelly Bean, tiene acceso alcorreo del usuario que está registrado en la aplicación y al correo queestá en la aplicación del correo electrónico, que no es el mismo.
En Twitter del dispositivo con Jelly Bean, el nombre del usuario siem-pre está presente durante la generación de las bitácoras.
En el dispositivo con Marshmallow, las aplicaciones Cámara, Calen-dario, Fotos y Mensajes hacen llamadas al paquete com.amazon.mShop.android
En el dispositivo con Marshmallow, la aplicación de Cámara, obtieneel correo del usuario y trata de acceder a la base de datos de laaplicación de Gmail.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
37
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Ataques de Husmeo con Punto de Acceso Malicioso
Se realizó una evaluación de la seguridad de los motores de renderizado de Android,utilizando los navegadores preinstalados de los dispositivos y de la API Webview ante losataques de husmeo con Punto de Acceso (PA) Malicioso a dispositivos con las versiones4.3 a 6.0, así como con las aplicaciones preinstaladas de estos dispositivos.
Se degradó la comunicación HTTPS a HTTP
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
38
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Ataques a los navegadores preinstalados
Con el PA Malicioso se efectuaron ataques a los siguientes navegadores:
DISPOSITIVO VERSIÓN DEANDROID
NAVEGADOR VERSIÓNDEL NAVEG-ADOR
MOTOR DERENDERIZADO
Sony Xperia SPC5306
4.3 Google Chrome 28.0.1.500.94 WebKit
Motorola Moto G 6.0 Google Chrome 49.0.2623.91 ChromiumDell Venue 7 4.4 Google Chrome 36.0.1985.135 Chromium
4.4 Android AOSP 4.4.4-65 WebKitSamsung Galaxy 5.1 Google Chrome 50.0.2661.89 ChromiumGrand Prime 5.1 Samsung 3.3.38.141-0 Chromium
Table : Navegadores preinstalados de los dispostivos utilizados
También, Google Chrome se actualizó en todos los dispositivos a la versiónmás reciente al momento de realizar estas pruebas, que fue la 56.0.2924.87.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
39
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Se hicieron pruebas con el PA en algunos de los sitios más visitados de México [17]que hacen uso del protocolo SSL/TLS.
En estos sitios se intentó degradar la comunicación HTTPS a HTTP
Para entrar en estos sitios en cada navegador, se establecieron cuatro escenarios queexponen las formas en las que se pueden acceder a ellos.
Escenario 1. Ingreso de la dirección completa del sitio desde la barra de dirección,por ejemplo www.nombre_sitio.com.
Escenario 2. Desde la barra de navegación escribir solamente el nombre delsitio, como por ejemplo, en lugar de colocar www.nombre_sitio.com, solo escribirnombre_sitio.
Escenario 3. Búsqueda desde Google en su versión HTTP.
Escenario 4. Ingreso al sitio en su versión HTTPS y después, borrar la ‘s’ dehttps en la barra de dirección del navegador.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
40
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Resultados obtenidos de los ataques a los navegadores
El número de sitios degradados varió de acuerdo al dispositivo. Conexcepción del Escenario 2, en los demás escenarios sí hubo degradacionesa HTTP.
De la información obtenida se recuperaron credenciales de autenticación
Figure : Credenciales de autenticación de una cuenta de Google.Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
41
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Resultados obtenidos de los ataques a los navegadores
Figure : Credenciales de autenticación de una cuenta de Facebook.
Figure : Credenciales de autenticación de una cuenta de CS Cinvestav.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
42
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Pantalla de inicio de Google Chrome actualizado
Existe una funcionalidad llamada “Artículos sugeridos”, que consiste en el desplieguede noticias que pueden ser de interés para el usuario.
Pero esta característica siempre está en HTTP, por lo tanto, durante el ataque con elPA Malicioso se capturaron paquetes que contenían información de esta página deinicio, como por ejemplo imágenes.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
43
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Sitios con HTTP que tienen autenticación y manejo desesión con HTTPS
Estos sitios son el IPN, Sears y Liverpool
Estos sitios fueron degradados a HTTP en todos los navegadores y todos losdispositivos
Figure : Datos de un usuario que realizó una compra en LiverpoolLaiphel M. Gómez Trujillo Departamento de computación. Cinvestav
44
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Pruebas del PA con el SAT y el CONACYT
Con los mismos navegadores, se realizó el ataque de husmeo con elPA malicioso en algunos sitios del CONACYT y del SAT.
Se probaron dos sitios del CONACYT; CVU y PNPC. En el primero,se recuperó información como credenciales de autenticación.
(a) (b)
Figure : (a) Autenticación del CVU de CONACYT; (b) Recuperación decredenciales del CVU de CONACYT
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
45
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Pruebas del PA con el SAT y el CONACYT
Se probaron algunos sitios del SAT; Declaraciones anuales con per-sonas físicas, Citas, Trámites y servicios y Fáctura electrónica. Entodos estos sitios, hubo captura de información.
(a) (b)
Figure : (a) Sitio de “Declaraciones anuales de personas físicas”; (b) Capturade credenciales de “Declaraciones anuales de personas físicas”
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
46
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Ataques de husmeo a un sitio WordPress
Se realizó un análisis del front-end de un sitio WordPress en los navegadores deAndroid.
Se capturaron credenciales de autenticación, así como acciones que realiza eladministrador como modificaciones de una entrada.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
47
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Ataques a la API de navegación (Webview)
Se desarrolló una aplicación que utiliza Webview para evaluar su vul-nerabilidad ante este ataque de husmeo. Se utilizaron los mismosEscenarios, con los mismos navegadores y sitios.
Se obtuvieron resultados similares a los navegadores.
Figure : Aplicación que utiliza WebView para desplegar contenido web
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
48
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Ataques a las aplicaciones de los fabricantesCon el mismo esquema del PA malicioso, se pusieron a prueba algunas de las aplicacionespreinstaladas de los fabricantes.
Muchas aplicaciones transmitieron información en SSL/TLS que no pudo serdegradado a HTTP.No obstante, hubo aplicaciones donde sí hubo información en claro
(a) (b)
Figure : (a) Comentarios en la aplicación “Ayuda" de Motorola; (b) Captura decomentarios de la aplicación “Ayuda".
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
49
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso
Se recuperaron paquetes de petición respuesta HTTP, dentrode los que se encuentran user-agents, cookies e información deldispositivo, como la versión de Android.
Figure : Información en claro de la aplicación Amazon
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
50
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
6 Conclusiones y trabajo a futuro
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
51
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Conclusiones
Es posible recuperar parte de la información eliminada.
Aunque el usuario elimine o altere los archivos enviados por bluetooth,es posible recuperar al menos sus metadatos
Los navegadores preinstalados son propensos a la degradación HTTPque los navegadores Google Chrome actualizados
Algunos mecanismos de los navegadores Google Chrome actualizadosestán implementados en HTTP, como la pantalla de inicio
La API Webview es más vulnerable ante el ataque de husmeo con unPA ilegítimo que los navegadores
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
52
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Conclusiones
Un sitio Wordpress que tiene habilitado el protocolo SSL/TLS tam-bién es vulnerable ante el ataque de husmeo
Algunas aplicaciones preinstaladas por los fabricantes producen trá-fico HTTP que puede ser interceptado por el PA ilegítimo
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
53
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Trabajo a futuro
Hacer el análisis de seguridad ante el ataque de husmeo conel PA ilegítimo del navegador de Samsung actualizado y connavegadores propios de otros fabricantesAmpliar el ataque de husmeo con el mecanismo de redes VPNque ofrece AndroidLlevar a cabo ataques de inyección en las aplicaciones que trans-mitan información vía HTTPHacer un estudio de qué información eliminada se puede recu-perar desde la memoria RAMRealizar ataques a los proveedores de contenido de las aplica-ciones con el PA Malicioso
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
54
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Bibliografía I
Lazaro-Dominguez, F.Investigación forense de dispositivos móviles Android.Ra-Ma ediciones de la U, Mexico, first edition, 2015.ISBN: 978-958-762-429-8.
Robinson, G. and Weir,R.S.Understanding Android Security.Global Security, Safety and Sustainability: Tomorrow’s Challenges of Cyber Security, 4(CCIS534):189–199, 2015.Springer.
Ntantogian, C. Apostolopoulos, D., Marinakis, G. and Xenakis, C.Discovering authentication credentials in volatile memory of android mobile devices.IFIP Advances in information and Communication Technology, 399:178–185, 2013.Springer Berlin Heidelberg.
Marinakis, G. Ntantogian, C., Apostolopoulos, D. and Xenakis, C.Evaluating the privacy of Android mobile applications under forensic analysis.Elsevier Computers Security, 42:66–76, 2014.Elsevier.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
55
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Bibliografía II
Pegueroles, J. Jódar, E. and Vera del Campo, J.Estudio práctico de mecanismos de seguridad en dispositivos Android.In Reunión Española sobre Criptología y Seguridad de la Información , pages 259–263, Alicante,España, 2014.ISBN: 978-84-9717-323-0.
Simon, L. and Anderson, R.Security Analysis of Android Factory Resets.In Proceedings of 4th Workshop on Mobile Security Technologies (MoST), San Jose, USA, 2015.URL: https://www.cl.cam.ac.uk/~rja14/Papers/fr_most15.pdf.
Eom, J.H. Park, M.V., Choi, Y.H. and Chung, T.M.Dangerous Wi-Fi access point: attacks to benign smartphone applications.Personal and Ubiquitous Computing, 18(6):1373–1386, 2013.Springer International Publishing.
Lanier, Z. Mulliner, C. Ridley, S.A. Drake, J.J., Fora, P.O. and Wicherski, G.Android Hacker’s Handbook.Wiley, USA, first edition, 2014.ISBN: 978-1-118-60864-7.
Android Open Source Project.Security.URL: https://source.android.com/security/?hl=es (consultado el 24-05-2017).
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
56
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Bibliografía III
Google Inc. and Open Handset Alliance.Permission.URL: https://developer.android.com/guide/topics/manifest/permission-element.html(consultado el 23-05-2017).
Google Inc. and Open Handset Alliance.Permisos del sistema.URL: https://developer.android.com/guide/topics/security/permissions.html?hl=es(consultado el 24-05-2017).
Choi, C. Choi, J., Sung, W. and Kim, P.Personal information leakage detection method using the inference-based access control model onthe android platform.Pervasive and Mobile Computing, 24:138–149, 2015.Elsevier.
Hossain, M.S. Hassan, S.S., Bibon, S.D. and Atiquzzaman, M.Security threats in bluetooth technology.Computers & Security, 2017.ISSN: 0167-4048.
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav
57
IntroducciónVisión general de Android
Seguridad en AndroidProblemas de seguridad en Android
Desarrollo y experimentaciónConclusiones y trabajo a futuro
Bibliografía IV
Seri, G. and Vishnepolsky, G.Blueborne. the dangers of bluetooth implementations: Unveiling zero day vulnerabilities andsecurity flaws in modern bluetooth stacks.Technical report, 2017.URL:http://go.armis.com/hubfs/BlueBorne%20Technical%20White%20Paper-1.pdf?t=1505319664351.
Frichot, C. Alcorn, W. and Orru, M.The Browser Hacker’s Handbook.Wiley, USA, first edition, 2014.ISBN: 978-1-118-66209-0.
Dubey, A. and Misra, A.Android Security Attacks and Defenses.CRC Press, USA, first edition, 2013.ISBN: 978-1-4398-9647-1.
Amazon.com.Top sites in mexico, 2017.URL: http://www.alexa.com/topsites/countries/MX (consultado el 10-03-2017).
Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav