análisis de la seguridad y privacidad ofrecida por...

1

Análisis de la seguridad y privacidad ofrecida pordispositivos Android.

Laiphel Marco Gómez Trujillo

Directores de la Tesis:Dr. Francisco Rodríguez HenríquezDr. Luis Julián Domínguez Pérez

Departamento de computación, Cinvestav

Octubre, 2017

Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav

2

IntroducciónVisión general de Android

Seguridad en AndroidProblemas de seguridad en Android

Desarrollo y experimentaciónConclusiones y trabajo a futuro

Contenido

1 Introducción

2 Visión general de Android

3 Seguridad en Android

4 Problemas de seguridad en Android

5 Desarrollo y experimentación

6 Conclusiones y trabajo a futuro


3




ObjetivosMotivaciónPlanteamiento del problemaEstado del arte

1 Introducción


4





Objetivos

Objetivo generalEste trabajo consiste en analizar la información del usuario que se puede obtener de undispositivo Android y evaluar su privacidad y seguridad

Objetivos específicosConocer los trabajos relacionados al análisis de seguridad y privacidad de Android

Conocer los datos que se pueden conseguir a través del WiFi y Bluetooth

Evaluar la seguridad de los navegadores preinstalados, de la API de navegación yde las aplicaciones preinstaladas ante ataques de husmeo

Recuperar información del usuario eliminada


5





Motivación

Android es el sistema operativo móvil dominante para dispositivosmóviles y tabletas (tablets).

Los dispositivos móviles están expuestos a muchos de los riesgos quetiene una computadora personal [1] o inclusive más.

La actitud de los usuarios que utilizan Android hacia la seguridad desus dispositivos es abrumadoramente indiferente [2].

En Android, quien tiene el control del software y hardware de losdispositivos no es Google, sino los fabricantes.


6





Planteamiento del problema

En el entorno de los móviles con Android los usuarios almacenan datospersonales e información susceptible que pueden quedar comprometi-dos.

Las principales amenazas a la seguridad en Android son:

El malware que se encuentra en las aplicacionesMantener encendidos los servicios de WiFi y Bluetooth en cualquierlugarConectarse a redes WiFi públicasLas vulnerabilidades existentes del sistema operativo.

Con el hecho de tener un dispositivo móvil, ya se está exponiendo enmenor o mayor grado la privacidad del usuario.


7





Estado del arte

Los trabajos realizados por Marinakis et al. [3] y Ntagonian et al. [4] demuestranque las credenciales de autenticación pueden ser descubiertas en la memoria volátilde los dispositivos Android.

El trabajo de Ciurana et al. [5] hace un estudio de algunos mecanismos de seguri-dad en Android, enfocándose en la aplicación WhatsApp, la conectividad USB,los peligros de conectar los teléfonos en máquinas externas y la seguridad delcontrol de acceso.

Simon et al. [6] hace un análisis referente al reinicio de datos de fábrica de Android,buscando si es posible recuperar datos que estaban almacenados antes del citadoreinicio.

Eom et al. [7] muestra el riesgo de conectar los teléfonos inteligentes a puntos deacceso inalámbricos públicos o desconocidos porque en estos entornos un ataquede intruso de en medio (Man In The Middle Attack) es posible.


8




Versiones de AndroidArquitectura de AndroidAplicaciones

2 Visión general de Android


9





¿Qué es Android?

Android es un sistema operativo de código abierto para dispositivosmóviles, basado en el kernel Linux, desarrollado por Google y por la OpenHandset Alliance (OHA).


10





La mayor parte de la plataforma es de código abierto y es desarrollada bajoel uso del Android Open Source Project (AOSP) [1].

Por otro lado, existen componentes de esta plataforma que son de códigocerrado. Como el cargador de arranque, el firmware periférico, compo-nentes de radio y algunas aplicaciones [8].


11





Versiones de Android

Desde su lanzamiento comercial en el año 2008, han salidodiferentes versiones de esta plataforma por lo general cada año.

NÚMERO DEVERSIÓN

NOMBRE CÓDIGO NIVEL DE API AÑO DE LAN-ZAMIENTO

1.0 Alpha 1 20081.1 Beta 2 20091.5 Cupcake 3 20091.6 Donut 4 20092.0-2.1 Eclair 5-7 20092.2-2.2.3 Froyo 8 20102.3-2.3.7 Gingerbread 9-10 20103.0-3.2.6 Honeycomb 11-13 20114.0-4.0.4 Ice Cream Sandwich 14-15 20114.1-4.3.1 Jelly Bean 16-18 20124.4-4.4.4 KitKat 19 20135.0-5.1.1 Lollipop 21-22 20146.0-6.0.1 Marshmallow 23 20157.0-7.1.1 Nougat 24-25 20168.0 Oreo 26 2017

Table : Versiones de AndroidLaiphel M. Gómez Trujillo Departamento de computación. Cinvestav

12





Arquitectura de Android

La arquitectura de Android se constituye de una serie de componentes quese ajustan a un modelo de capas.

Kernel Linux

Capa de Abstracción de Hardware (HAL)

Bibliotecas Android Runtime

Framework de aplicaciones

AplicacionesMenú principal Teléfono SMS/MMS Navegador Cámara

Contactos Alarma Calculadora Reloj

Controlador de pantalla

Controlador de cámara

Controlador de Bluetooth

Controlador de memoria

compartida

Controlador Binder IPC

ControladorUSB

Controlador deteclado

Controlador deWiFi

Controlador deaudio

Administraciónde energía

Gráficos Cámara Bluetooth GPS Radio WiFi

SurfaceManager

Mediaframework

SQLite Webkit Libc

OpenGL IES

AudioManager

FreeType OpenSSL ...

Bibliotecas nativas

Máquina Virtual Dalvik

...

...

Activity Manager

Window Manager

Content Providers

View System NotificationManager

Package Manager

TelephonyManager

ResourceManager

Location Manager

Figure : Arquitectura de Android


13





Aplicaciones

Las aplicaciones son las entidades con las que hay una interacción directa entre el usuarioy Android para realizar una función específica. Se integra de los siguientes componentes.

Actividades.Archivo manifiesto.Intentos (Intents).Broadcast receivers.Proveedores de contenido.Servicios.


14




Usuarios y modelo de permisosCifrado en Android (Cifrado de Disco Completo)Restablecimiento de fábrica

3 Seguridad en Android


15





Seguridad en Android

De acuerdo con la AOSP [9], Android ofrece un entorno donde seprotegen los servicios de confidencialidad, integridad y disponi-bilidad del sistema operativo, de los usuarios y de las aplica-ciones.La arquitectura de Android está diseñada para que cada capaasuma que la capa anterior está protegida de manera apropiada.Android ha adoptado muchos mecanismos de seguridad de Linux


16





Seguridad en AndroidUsuarios y modelo de permisos

UsuariosEn Android, un usuario es una aplicación y cada aplicación poseé undiferente identificador ID [10].

PermisosCada aplicación solamente tiene acceso a los recursos que va a nece-sitar. Si las aplicaciones necesitan usar recursos del sistema o datosde otras aplicaciones, deberán hacerlo a través de los permisos [11].


17





El modelo de permisos consiste en determinar lo que una aplicaciónpuede realizar en el sistema a través de un permiso [12].

Los permisos de una aplicación se ubican en el archivo manifiesto

Figure : Permisos en el archivo manifiesto


18





Cifrado en Android (Cifrado de Disco Completo)

Para realizar el CDC, Android utiliza el subsistema dm-crypt deLinux implementando así cifrado de disco transparente.

El cifrado se hace con AES-128 modo CBC y ESSIV:SHA256Las llaves de cifrado se encuentran en:

Los metadatos (/efs/metadata)El cripto_footer


19





Restablecimiento de fábrica

También llamado borrado seguro, consiste en realizar un borrado de losdatos y aplicaciones del usuario. Existen dos maneras de realizarlo:

Desde el recovery Desde el menú configuración

Durante el restablecimiento, se borran las particiones /data, /sdcard y/cache


20





Proceso de borrado en Android

El almacenamiento secundario en Android es la memoria flash

La memoria flash está soportada con la arquitectura eMMC (Embed-ded MultiMedia Card)

eMMC proporciona al sistema operativo una vista lógica de lamemoriaEsta vista está dividida en bloques lógicos


21





Proceso de borrado en Android

Con los comandos de eMMC, SECURE TRIM y SECURE ERASE,se realiza un borrado de la memoria.Con el comando de eMMC SANITIZE se proporciona saniti-zación digital.El borrado de la información en Android se realiza con llamadasa ioctl().


22




Problemas con la API de navegación (WebView)

4 Problemas de seguridad en Android


23





Problema con el borrado de información

Un problema que existe en el borrado de algunas particiones de lamemoria está en que se ocupa la opción BLKDISCARD, porque noproporciona sanitización.

Esto es porque se activan los comandos de eMMC DISCARD y TRIM.

Por lo tanto, los datos “borrados” aún están en flash.

Se puede recuperar datos eliminados con técnicas de tallado de archivos(Data Carving).


24





Información del bluetooth

A través de esta tecnología se puede robar y manipular informacióndel usuario [13], [14].

La información que se puede obtener de un dispositivo bluetooth sonlos metadatos de los archivos que se envían o reciben, la cuál seencuentra en:

La base de datos btopp.dbLa bitácora btsnoop_hci.log


25





Inseguridad en el servicio de WiFi

Cuando los dispositivos Android están conectados a una red inalámbrica, puedetransmitir datos confidenciales, que pueden ser interceptados por un atacante, siéste está husmeando (sniffing) en la red, realizando Ataques de Intruso de enMedio (Man In The Middle Attack, MITM).

(a) (b)

Figure : Modelo general de un ataque de husmeo: (a) Punto de Acceso Malicioso oIlegítimo; (b) Punto de Acceso Deshonesto o Falso con el mismo SSID de la redlegítima, en este caso PAA123


26





Inseguridad en el servicio de WiFi

Es posible monitorear la información que sale y entra de un dispositivo, incluso siestá cifrada.

Se puede degradar la comunicación HTTPS a HTTP con un punto de accesofalso [15] [12].


27






Webview es la API de navegación que permite desplegar contenido weben las aplicaciones. Webview y los navegadores preinstalados usan losmotores de renderizado del sistema (webkit y chromium).

Webview está expuesto a los mismos ataques que los navegadores deescritorio como son Inyección SQL, Cross-Site Scripting, Inyección HTMLy Phishing [16].


28




Recuperación de información eliminadaRecuperación de información en el BluetoothConsumo de recursos de aplicacionesAtaques de Husmeo con Punto de Acceso Malicioso

5 Desarrollo y experimentación


29





Desarrollo y experimentación

Se realizaron pruebas de la seguridad de algunos mecanismos de lossiguientes dispositivos Android:

Sony Xperia SP C5306 con la versión 4.3 (Jelly Bean)Tableta Dell Venue 7 con la versión 4.4 (Kitkat)Samsung Galaxy Grand Prime con la versión 5.1 (Lollipop)Motorola Moto G cuarta generación con la versión 6.0.1 (Marsh-mallow)


30





Recuperación de información eliminada

Los dispositivos se llenaron de datos como fotos, videos, contactos,entre otros y se eliminó con el borrado normal y el restablecimientode fábrica.

Fue necesario extraer la imágen de la memoria flash del dispos-itivo.Se realizaron técnicas de tallado de archivos.


31





Recuperación del borrado normal y de fábrica

Se pudo recuperar parte de la información que se había eliminado, princi-palmente:

Imágenes

Documentos PDF

Nombres de contactos

Números telefónicos

Información relacionadaal historial de nave-gación

Capturas de algunosvídeos


32





Recuperación de Metadatos de archivos eliminados

Un aspecto a destacar en la información de un archivo son sus metadatos.En algunos archivos, se lograron rescatar sus metadatos, principalmente enlos archivos PDF.

Figure : Metadatos de archivo PDF recuperado.


33





Recuperación de información en el Bluetooth

Se enviaron archivos por bluetooth entre dos dispositivos y posterior-mente se eliminaron.

Luego se obtuvieron la bitácora btsnoop_hci.log y base de datosbtopp.db.

Figure : Bases de datos btopp.db de archivos enviados y recibidoseliminados


34





Se obtuvieron metadatos de los archivos enviados/recibidoseliminados durante la revisión de la bitácora.


35





Consumo de recursos de aplicaciones

Se realizó una medición del consumo de memoria RAM y CPU que con-sumen las aplicaciones preinstaladas de los fabricantes de los cuatro dispos-itivos, para verificar si estas aplicaciones realizaban un consumo excesivoque fuera sospechoso.

Durante este proceso, se registraron los eventos que generaban lasaplicaciones con el comando logcat de adb


36





Consumo de recursos de aplicaciones: Observaciones

La aplición Facebook del dispositivo con Jelly Bean, tiene acceso alcorreo del usuario que está registrado en la aplicación y al correo queestá en la aplicación del correo electrónico, que no es el mismo.

En Twitter del dispositivo con Jelly Bean, el nombre del usuario siem-pre está presente durante la generación de las bitácoras.

En el dispositivo con Marshmallow, las aplicaciones Cámara, Calen-dario, Fotos y Mensajes hacen llamadas al paquete com.amazon.mShop.android

En el dispositivo con Marshmallow, la aplicación de Cámara, obtieneel correo del usuario y trata de acceder a la base de datos de laaplicación de Gmail.


37





Ataques de Husmeo con Punto de Acceso Malicioso

Se realizó una evaluación de la seguridad de los motores de renderizado de Android,utilizando los navegadores preinstalados de los dispositivos y de la API Webview ante losataques de husmeo con Punto de Acceso (PA) Malicioso a dispositivos con las versiones4.3 a 6.0, así como con las aplicaciones preinstaladas de estos dispositivos.

Se degradó la comunicación HTTPS a HTTP


38





Ataques a los navegadores preinstalados

Con el PA Malicioso se efectuaron ataques a los siguientes navegadores:

DISPOSITIVO VERSIÓN DEANDROID

NAVEGADOR VERSIÓNDEL NAVEG-ADOR

MOTOR DERENDERIZADO

Sony Xperia SPC5306

4.3 Google Chrome 28.0.1.500.94 WebKit

Motorola Moto G 6.0 Google Chrome 49.0.2623.91 ChromiumDell Venue 7 4.4 Google Chrome 36.0.1985.135 Chromium

4.4 Android AOSP 4.4.4-65 WebKitSamsung Galaxy 5.1 Google Chrome 50.0.2661.89 ChromiumGrand Prime 5.1 Samsung 3.3.38.141-0 Chromium

Table : Navegadores preinstalados de los dispostivos utilizados

También, Google Chrome se actualizó en todos los dispositivos a la versiónmás reciente al momento de realizar estas pruebas, que fue la 56.0.2924.87.


39





Se hicieron pruebas con el PA en algunos de los sitios más visitados de México [17]que hacen uso del protocolo SSL/TLS.

En estos sitios se intentó degradar la comunicación HTTPS a HTTP

Para entrar en estos sitios en cada navegador, se establecieron cuatro escenarios queexponen las formas en las que se pueden acceder a ellos.

Escenario 1. Ingreso de la dirección completa del sitio desde la barra de dirección,por ejemplo www.nombre_sitio.com.

Escenario 2. Desde la barra de navegación escribir solamente el nombre delsitio, como por ejemplo, en lugar de colocar www.nombre_sitio.com, solo escribirnombre_sitio.

Escenario 3. Búsqueda desde Google en su versión HTTP.

Escenario 4. Ingreso al sitio en su versión HTTPS y después, borrar la ‘s’ dehttps en la barra de dirección del navegador.


40





Resultados obtenidos de los ataques a los navegadores

El número de sitios degradados varió de acuerdo al dispositivo. Conexcepción del Escenario 2, en los demás escenarios sí hubo degradacionesa HTTP.

De la información obtenida se recuperaron credenciales de autenticación

Figure : Credenciales de autenticación de una cuenta de Google.Laiphel M. Gómez Trujillo Departamento de computación. Cinvestav

41





Resultados obtenidos de los ataques a los navegadores

Figure : Credenciales de autenticación de una cuenta de Facebook.

Figure : Credenciales de autenticación de una cuenta de CS Cinvestav.


42





Pantalla de inicio de Google Chrome actualizado

Existe una funcionalidad llamada “Artículos sugeridos”, que consiste en el desplieguede noticias que pueden ser de interés para el usuario.

Pero esta característica siempre está en HTTP, por lo tanto, durante el ataque con elPA Malicioso se capturaron paquetes que contenían información de esta página deinicio, como por ejemplo imágenes.


43





Sitios con HTTP que tienen autenticación y manejo desesión con HTTPS

Estos sitios son el IPN, Sears y Liverpool

Estos sitios fueron degradados a HTTP en todos los navegadores y todos losdispositivos

Figure : Datos de un usuario que realizó una compra en LiverpoolLaiphel M. Gómez Trujillo Departamento de computación. Cinvestav

44





Pruebas del PA con el SAT y el CONACYT

Con los mismos navegadores, se realizó el ataque de husmeo con elPA malicioso en algunos sitios del CONACYT y del SAT.

Se probaron dos sitios del CONACYT; CVU y PNPC. En el primero,se recuperó información como credenciales de autenticación.

(a) (b)

Figure : (a) Autenticación del CVU de CONACYT; (b) Recuperación decredenciales del CVU de CONACYT


45





Pruebas del PA con el SAT y el CONACYT

Se probaron algunos sitios del SAT; Declaraciones anuales con per-sonas físicas, Citas, Trámites y servicios y Fáctura electrónica. Entodos estos sitios, hubo captura de información.

(a) (b)

Figure : (a) Sitio de “Declaraciones anuales de personas físicas”; (b) Capturade credenciales de “Declaraciones anuales de personas físicas”


46





Ataques de husmeo a un sitio WordPress

Se realizó un análisis del front-end de un sitio WordPress en los navegadores deAndroid.

Se capturaron credenciales de autenticación, así como acciones que realiza eladministrador como modificaciones de una entrada.


47





Ataques a la API de navegación (Webview)

Se desarrolló una aplicación que utiliza Webview para evaluar su vul-nerabilidad ante este ataque de husmeo. Se utilizaron los mismosEscenarios, con los mismos navegadores y sitios.

Se obtuvieron resultados similares a los navegadores.

Figure : Aplicación que utiliza WebView para desplegar contenido web


48





Ataques a las aplicaciones de los fabricantesCon el mismo esquema del PA malicioso, se pusieron a prueba algunas de las aplicacionespreinstaladas de los fabricantes.

Muchas aplicaciones transmitieron información en SSL/TLS que no pudo serdegradado a HTTP.No obstante, hubo aplicaciones donde sí hubo información en claro

(a) (b)

Figure : (a) Comentarios en la aplicación “Ayuda" de Motorola; (b) Captura decomentarios de la aplicación “Ayuda".


49





Se recuperaron paquetes de petición respuesta HTTP, dentrode los que se encuentran user-agents, cookies e información deldispositivo, como la versión de Android.

Figure : Información en claro de la aplicación Amazon


50




6 Conclusiones y trabajo a futuro


51




Conclusiones

Es posible recuperar parte de la información eliminada.

Aunque el usuario elimine o altere los archivos enviados por bluetooth,es posible recuperar al menos sus metadatos

Los navegadores preinstalados son propensos a la degradación HTTPque los navegadores Google Chrome actualizados

Algunos mecanismos de los navegadores Google Chrome actualizadosestán implementados en HTTP, como la pantalla de inicio

La API Webview es más vulnerable ante el ataque de husmeo con unPA ilegítimo que los navegadores


52




Conclusiones

Un sitio Wordpress que tiene habilitado el protocolo SSL/TLS tam-bién es vulnerable ante el ataque de husmeo

Algunas aplicaciones preinstaladas por los fabricantes producen trá-fico HTTP que puede ser interceptado por el PA ilegítimo


53




Trabajo a futuro

Hacer el análisis de seguridad ante el ataque de husmeo conel PA ilegítimo del navegador de Samsung actualizado y connavegadores propios de otros fabricantesAmpliar el ataque de husmeo con el mecanismo de redes VPNque ofrece AndroidLlevar a cabo ataques de inyección en las aplicaciones que trans-mitan información vía HTTPHacer un estudio de qué información eliminada se puede recu-perar desde la memoria RAMRealizar ataques a los proveedores de contenido de las aplica-ciones con el PA Malicioso


54




Bibliografía I

Lazaro-Dominguez, F.Investigación forense de dispositivos móviles Android.Ra-Ma ediciones de la U, Mexico, first edition, 2015.ISBN: 978-958-762-429-8.

Robinson, G. and Weir,R.S.Understanding Android Security.Global Security, Safety and Sustainability: Tomorrow’s Challenges of Cyber Security, 4(CCIS534):189–199, 2015.Springer.

Ntantogian, C. Apostolopoulos, D., Marinakis, G. and Xenakis, C.Discovering authentication credentials in volatile memory of android mobile devices.IFIP Advances in information and Communication Technology, 399:178–185, 2013.Springer Berlin Heidelberg.

Marinakis, G. Ntantogian, C., Apostolopoulos, D. and Xenakis, C.Evaluating the privacy of Android mobile applications under forensic analysis.Elsevier Computers Security, 42:66–76, 2014.Elsevier.


55




Bibliografía II

Pegueroles, J. Jódar, E. and Vera del Campo, J.Estudio práctico de mecanismos de seguridad en dispositivos Android.In Reunión Española sobre Criptología y Seguridad de la Información , pages 259–263, Alicante,España, 2014.ISBN: 978-84-9717-323-0.

Simon, L. and Anderson, R.Security Analysis of Android Factory Resets.In Proceedings of 4th Workshop on Mobile Security Technologies (MoST), San Jose, USA, 2015.URL: https://www.cl.cam.ac.uk/~rja14/Papers/fr_most15.pdf.

Eom, J.H. Park, M.V., Choi, Y.H. and Chung, T.M.Dangerous Wi-Fi access point: attacks to benign smartphone applications.Personal and Ubiquitous Computing, 18(6):1373–1386, 2013.Springer International Publishing.

Lanier, Z. Mulliner, C. Ridley, S.A. Drake, J.J., Fora, P.O. and Wicherski, G.Android Hacker’s Handbook.Wiley, USA, first edition, 2014.ISBN: 978-1-118-60864-7.

Android Open Source Project.Security.URL: https://source.android.com/security/?hl=es (consultado el 24-05-2017).


https://www.cl.cam.ac.uk/~rja14/Papers/fr_most15.pdf

https://source.android.com/security/?hl=es

56




Bibliografía III

Google Inc. and Open Handset Alliance.Permission.URL: https://developer.android.com/guide/topics/manifest/permission-element.html(consultado el 23-05-2017).

Google Inc. and Open Handset Alliance.Permisos del sistema.URL: https://developer.android.com/guide/topics/security/permissions.html?hl=es(consultado el 24-05-2017).

Choi, C. Choi, J., Sung, W. and Kim, P.Personal information leakage detection method using the inference-based access control model onthe android platform.Pervasive and Mobile Computing, 24:138–149, 2015.Elsevier.

Hossain, M.S. Hassan, S.S., Bibon, S.D. and Atiquzzaman, M.Security threats in bluetooth technology.Computers & Security, 2017.ISSN: 0167-4048.


https://developer.android.com/guide/topics/manifest/permission-element.html

https://developer.android.com/guide/topics/security/permissions.html?hl=es

57




Bibliografía IV

Seri, G. and Vishnepolsky, G.Blueborne. the dangers of bluetooth implementations: Unveiling zero day vulnerabilities andsecurity flaws in modern bluetooth stacks.Technical report, 2017.URL:http://go.armis.com/hubfs/BlueBorne%20Technical%20White%20Paper-1.pdf?t=1505319664351.

Frichot, C. Alcorn, W. and Orru, M.The Browser Hacker’s Handbook.Wiley, USA, first edition, 2014.ISBN: 978-1-118-66209-0.

Dubey, A. and Misra, A.Android Security Attacks and Defenses.CRC Press, USA, first edition, 2013.ISBN: 978-1-4398-9647-1.

Amazon.com.Top sites in mexico, 2017.URL: http://www.alexa.com/topsites/countries/MX (consultado el 10-03-2017).


http://go.armis.com/hubfs/BlueBorne%20Technical%20White%20Paper-1.pdf?t=1505319664351

http://www.alexa.com/topsites/countries/MX

58




¡Muchas gracias!

Zacatecas, Zac. México.


análisis de la seguridad y privacidad ofrecida por...

Documents