BORRADOR DE TESIS
PRESENTADA POR:
PUNO – PERÚ
2017
1
UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO
FACULTAD DE INGENIERÍA ESTADÍSTICA E INFORMÁTICA
ESCUELA PROFESIONAL DE INGENIERÍA ESTADÍSTICA E INFORMÁTICA
BORRADOR DE TESIS
SEGURIDAD INFORMÁTICA EN DISPOSITIVOS MÓVILES CON SISTEMAS OPERATIVOS
ANDROID MEDIANTE ISO 27001.
PRESENTADA POR:
Bach. EDSON DENIS ZANABRIA TICONA
APROBADA POR:
PRESIDENTE: ____________________________________
M.Sc. ERNESTO NAYER TUMI FIGUEROA
2
ÍNDICE GENERAL
ÍNDICE DE FIGURAS....................................................................................................................... 4
ÍNDICE DE TABLAS......................................................................................................................... 5
ÍNDICE DE ACRÓNIMOS ................................................................................................................ 6
RESUMEN ...................................................................................................................................... 6
ABSTRACT ..................................................................................................................................... 7
I. INTRODUCCIÓN ......................................................................................................................... 9
II. REVISIÓN DE LITERATURA ...................................................................................................... 11
III. MATERIALES Y MÉTODOS ..................................................................................................... 12
IV. RESULTADOS Y DISCUSIÓN ................................................................................................... 33
V. CONCLUSIONES ...................................................................................................................... 46
VI. RECOMENDACIONES ............................................................................................................. 48
VII. REFERENCIAS ........................................................................................................................ 49
ANEXOS ....................................................................................................................................... 49
3
ÍNDICE DE FIGURAS
Observaciones: Cada Figura debe tener un título el cual debe describir la ilustración
presentada con la menor cantidad de palabras posible el cual debe estar ubicado en la
parte inferior de la misma. Se debe evitar la redundancia entre el contenido de la
Figura y su título. Si la Figura tiene símbolos o abreviaciones, éstas deben ser
explicadas en el respectivo título. Si existen símbolos estos deben anotarse en la parte
inferior (pie de página). Fotografías, esquemas, gráficos, micrografías, mapas, carta,
diagramas deben ser consideradas como Figuras y numeradas arábicamente y
consecutivamente conforme aparezcan en el texto que las cita y deben ubicarse lo más
próximo posible del mismo. Si las Figuras no son de propiedad del autor debe
considerarse la respectiva referencia.
4
ÍNDICE DE TABLAS
Cada Tabla debe tener un título el cual debe describir la ilustración presentada con la
menor cantidad de palabras posible el cual debe estar ubicado en la parte superior de
la misma. Se debe evitar la redundancia entre el contenido de la Tabla y su título. Las
Tablas deben ser numeradas arábiga y consecutivamente de acuerdo al orden que
aparezcan en el texto que las cita y deben ubicarse lo más próximo posible del mismo.
Si existen símbolos estos deben anotarse en la parte inferior (pie de página). Si las
Tablas no son de propiedad del autor debe considerarse la respectiva referencia.
5
ÍNDICE DE ACRÓNIMOS
6
1 RESUMEN
7
34 tienen al instalar aplicaciones. Existen numerosas herramientas para el análisis del
35 sistema operativo Android, como las vistas en el presente documento, son herramientas
36 útiles tanto para técnicas de pent-testing como análisis forense que permiten analizar los
37 datos almacenados en el dispositivo, buscar vulnerabilidades, pero mal utilizadas
38 permiten igualmente modificar o dañar la información del dispositivo, se ha cumplido
39 con los objetivos planteados en el presente documento, encontrando los principales
40 componentes del sistema operativo Android y analizando vulnerabilidades en el mismo,
41 lo que ha permitido concluir que todo sistema por más avanzado que esté presenta
42 vulnerabilidades sean pocas o muchas y que como usuarios y especialistas en seguridad
43 informática se deben tomar medidas preventivas y sensibilizar a las personas en nuestro
44 entorno para ser consciente sobre el uso seguro para este tipo de dispositivos.
45 El trabajo de tesis debe tener una descripción del problema lugar y fecha concisa del
46 trabajo considerando la justificación, los objetivos, los principales métodos, los
47 resultados más relevantes y la conclusión del trabajo utilizando para ello 350 palabras
48 como máximo, incluyendo los conectores. En el resumen se debe evitar el uso de
49 acrónimos y abreviaciones que no sean de uso común en la especialidad, así como las
50 referencias bibliográficas. El resumen debe ser escrito en un solo párrafo continuado,
51 sin el uso de puntos aparte.
8
53 ABSTRACT
9
86 also allow modifying or damaging the device information, the objectives set out in this
87 document have been met, finding the main components of the Android operating system
88 and analyzing vulnerabilities in it, which has allowed us to conclude that any system
89 that is more advanced has vulnerabilities be few or many and that as users and
90 specialists in computer security should take preventive measures and sensitize people in
91 our environment to be aware of the safe use for this type of devices.
92
10
I. INTRODUCCIÓN
Justificación
Según el último informe de comScore Inc. e IMS Internet Media Services (IMS) 9 de cada 10
personas conectadas a internet en el Perú tienen un smartphone, pues el 93% de los peruanos
accede de sus dispositivos móviles. Las facilidades de adquisición y las utilidades que presentan
estos dispositivos han hecho que mucha población adquiera cada vez más este tipo elementos,
puesto que han revolucionado de manera representativa la manera de comunicarse, disminuyendo
así las fronteras de la comunicación y aprovechando dicha tecnología para compartir ideas,
mensajes, y todo tipo de información que se quiera intercambiar.
Se ha acrecentado los usuarios de telefonía móvil quienes aprovechan al máximo los servicios que
prestan, leyendo el correo electrónico, descargando aplicaciones o usando servicios de
geolocalización, entre otras. Pero a medida que avanza la tecnología igualmente surgen nuevos
ataques a este tipo de dispositivos. En la actualidad los dispositivos móviles son más
vulnerables en cuanto a la seguridad de información que ofrece siendo estos aprovechados por
creadores de malware, ya que son en sí pequeños computadores, pero aún la gente no tienen
conciencia de la capacidad de sus equipos y son muy pocos los fabricantes que han generado
software antivirus para móviles, además el número de plataformas existentes para móviles es
demasiado diverso (Android, Windows Mobile, Symbian , BlackBerry, iPhone IOS, etc.),
haciendo una gran variedad dispuesta para que cualquier atacante pueda alterar estos sistemas.
Las personas que utilizan este tipo de dispositivos no son conscientes de que si no se toman las
medidas necesarias para proteger su información tarde o temprano serán blanco de uno de los
tantos ataques que diariamente se producen con el objetivo de dañar, alterar o robar
información.
Objetivo general
Implementar políticas de seguridad para dispositivos móviles con el sistema operativo Android.
Objetivos específicos
11
a) Realizar un estado del arte de la evolución histórica del sistema operativo Android,
identificando las mejoras realizadas entre cada versión.
d) Simular un ataque a un dispositivo con sistema operativo Android para obtener información de
cómo surgen estos tipos de ataques.
e) Aplicar medidas de prevención contra ataques para los usuarios de dispositivos móviles con
sistema operativo Android
Sección del trabajo de tesis donde en un máximo de dos páginas se justifica la realización de la
investigación. Se pueden Utilizar referencias y se debe considerar en los párrafos finales el
objetivo general y los objetivos específicos de la investigación.
Reyes (2016) concluye. La metodología propuesta cumple con los objetivos planteados,
con respecto a la seguridad del manejo de los dispositivos móviles; ayudado y apoyado por
las mejores prácticas (ISO 27001-2013 e ISO 31000), así como la información ilustrativa y
de apoyo en general (NIST 800-50 y NIST 800- 124). Con la investigación realizada dentro
de la empresa Estacionamientos Corsa, nos dimos cuenta que,aun teniendo muchas formas
de acceso a la información, la gente no se preocupa por las vulnerabilidades dnetro de sus
12
dispositivos o no saben el riesgo que pueden enfrentar al no tener las medidas necesarias
para salvaguardar información sensible ya sea de carácter personal o del lugar de trabajo.
Cadme (2012) concluye. En Italimentos se realizó una encuesta, de la que se tomo una
muestra de veinte empleados, logrando sacar conclusiones de que existe un 15% de
movimientos de recursos informáticos entre distintos empleados, los cambios o
movimientos realizados de los recursos informáticos se dan por nuevas características
tecnológica. En Italimentos el departamento de sistemas y desarrollo del nuevo sistema de
la empresa, conocen los significados de los activos informáticos, y el 40% de los
empleados de Italimentos desconoce de la dicha frase.
En cuanto a este proyecto, se ha logrado “arrancar el juego”: la seguridad, que antes era
tema complicado para muchos administradores y usuarios de sistemas Unix en la UNAM,
ahora tiene un lugar en los planes y acciones de muchos de ellos. En GASU se ha logrado
promover la cultura de la seguridad en muchos aspectos. La organización de seminarios y
actividades diversas ha despertado al menos la curiosidad de muchas personas que antes
utilizaban los sistemas de cómputo sin dedicarle el menor pensamiento a la seguridad.
García (2014) concluye. Se analizó el contexto actual para desarrollo de un sistema móvil
como apoyo a las comisarías y se pudo observar que no existe una solución que resuelva
completamente el problema planteado.
13
Se realizó el diseño para el sistema móvil de manera que gestione eficientemente las
actividades de los procesos que realizan las comisarias respecto al servicio que ofrecen a la
ciudadanía para cumplir con las funcionalidades requeridas.
Juarez (2004) concluye. Es notable la gran capacidad que tienen los Autómatas Celulares
para simular fenómenos naturales, ayudando a una interpretación mas completa de los
resultados de una investigación o incluso favoreciendo la prevención de situaciones no
deseadas. Es favorable observar la difusión que se le ha dado a los Autómatas Celulares en
varias disciplinas, haciendo de esta herramienta parte en sus metodologías y aplicaciones,
sobre todo en la seguridad de software También invita a reflexionar en lo que se puede
lograr profundizando en su entendimiento. Tal vez abra las puertas a nuevos paradigmas
científicos que permitan, como los propios autómatas, pequeños avances, pero a pasos de
gigante.
14
Humpiri (2015) concluye. Se debe concientizar a las organizaciones de las implicaciones y
de los alcances que tienen los ataques de inyección SQL. Cuando se conoce y se evalúan
los daños que pueden hacer, se decide actuar para combatir y protegerse ante este tipo de
intrusiones.
Las aplicaciones no se deben diseñar solo para cumplir un objetivo sino que a la vez se
deben diseñar de tal manera que no se comprometa la seguridad de la información en la
organización. Si una aplicación está en fase de ejecución no se debe dejar de lado las
medidas para evaluar y clasificar los riesgos presentes, para así protegerla de las
inyecciones SQL. Esta metodología es aplicable para diferentes lenguajes de programación
y sistemas gestores de bases de datos.
Referencias teóricas
2.2.1.1 Android
La versión básica de Android es conocida como Android Open Source Project (AOSP). El
25 de junio de 2014 en la Conferencia de Desarrolladores Google I/O, Google mostró una
evolución de la marca Android, con el fin de unificar tanto el hardware como el software y
ampliar mercados.
El 17 de mayo de 2017, se presentó Android Go. Una versión más ligera del sistema
operativo para ayudar a que la mitad del mundo sin smartphone consiga uno en menos de
cinco años. Incluye versiones especiales de sus aplicaciones donde el consumo de datos se
reduce al máximo.
Hasta la versión 4.4.4 Android utiliza Dalvik como máquina virtual con la compilación
justo a tiempo (JIT) para ejecutar Dalvik dex-code (Dalvik ejecutable), que es una
traducción de Java bytecode. Siguiendo el principio JIT, además de la interpretación de la
mayoría del código de la aplicación, Dalvik realiza la compilación y ejecución nativa de
segmentos de código seleccionados que se ejecutan con frecuencia (huellas) cada vez que
se inicia una aplicación. Android 4.4 introdujo el ART (Android Runtime) como un nuevo
entorno de ejecución, que compila el Java bytecode durante la instalación de una
aplicación. Se convirtió en la única opción en tiempo de ejecución en la versión 5.0
16
dispositivo VGA, biblioteca de gráficos 2D, biblioteca de gráficos 3D
basada en las especificaciones de la OpenGL ES 2.0 y
diseño de teléfonos tradicionales.
17
Android soporta los siguientes formatos
multimedia: WebM, H.263, H.264 (en 3GP o MP4), MPEG-
Soporte
4 SP, AMR, AMR-WB (en un contenedor 3GP), AAC, HE-
multimedia
AAC (en contenedores MP4 o 3GP), MP3, MIDI, Ogg
Vorbis, WAV, JPEG, PNG, GIF y BMP.
18
One y el Motorola Droid que activa el soporte multitáctil de
forma nativa.
19
Aplicaciones: las aplicaciones base incluyen un cliente de correo electrónico, programa de
SMS, calendario, mapas, navegador, contactos y otros. Todas las aplicaciones están escritas
en lenguaje de programación Java.
Núcleo Linux: Android depende de Linux para los servicios base del sistema como
seguridad, gestión de memoria, gestión de procesos, pila de red y modelo de controladores.
El núcleo también actúa como una capa de abstracción entre el hardware y el resto de la
pila de software.
20
Fuente: https://es.wikipedia.org/wiki/Android Arquitectura Android
Según un estudio de Symantec de 2013, demuestra que en comparación con iOS, Android
es un sistema explícitamente menos vulnerable. El estudio en cuestión habla de 13
vulnerabilidades graves para Android y 387 vulnerabilidades graves para iOS. El estudio
también habla de los ataques en ambas plataformas, en este caso Android se queda con 113
ataques nuevos en 2012 a diferencia de iOS que se queda en 1 solo ataque. Incluso así
Google y Apple se empeñan cada vez más en hacer sus sistemas operativos más seguros
incorporando más seguridad tanto en sus sistemas operativos como en sus mercados
oficiales.
21
Como parte de las amplias revelaciones sobre vigilancia masiva filtradas en 2013 y 2014,
se descubrió que las agencias de inteligencia estadounidenses y británicas, la Agencia de
Seguridad Nacional (NSA) y el Cuartel General de Comunicaciones del Gobierno (GCHQ),
respectivamente, tienen acceso a los datos de los usuarios de dispositivos Android. Estas
agencias son capaces de leer casi toda la información del teléfono como SMS,
geolocalización, correos, notas o mensajes. Documentos filtrados en enero de 2014,
revelaron que las agencias interceptan información personal a través de Internet, redes
sociales y aplicaciones populares, como Angry Birds, que recopilan información para temas
comerciales y de publicidad. Además, según The Guardian, el GCHQ tiene una wiki con
guías de las diferentes aplicaciones y redes de publicidad para saber los diferentes datos
que pueden ser interceptados. Una semana después de salir esta información a la luz, el
desarrollador finlandés Rovio, anunció que estaba reconsiderando sus relaciones con las
distintas plataformas publicitarias y exhortó a la industria en general a hacer lo mismo.
Las informaciones revelaron que las agencias realizan un esfuerzo adicional para
interceptar búsquedas en Google Maps desde Android y otros teléfonos inteligentes para
recopilar ubicaciones de forma masiva. La NSA y el GCHQ insistieron en que estas
actividades cumplen con las leyes nacionales e internacionales, aunque The Guardian
afirmó que «las últimas revelaciones podrían sumarse a la creciente preocupación pública
acerca de cómo se acumula y utiliza la información, especialmente para aquellos fuera de
los EE.UU. que gozan de menos protección en temas de privacidad que los
estadounidenses».
22
El estreno de Android,un sistema operativo
1.-Android Market
basado en Linux, este SO se desarrolló el
2.-Las aplicaciones más famosas de
5 de noviembre de 2007, sin embargo, estuvo 23 de
Apple Google:Gmail, Mapas, YouTube,
1.0 disponible para los usuarios hasta el 23 septiembr
Pie Calendario, Contactos, etc.
de Septiembre de 2008 en el primer e 2008
3.-Menú desplegable de notificaciones.
teléfono celular que lo equiparía: el HTC
4.-Patrón de desbloqueo
Dream
Los cambios ahora eran rápidos, en Noviembre 1.-Nuevo navegador que soportaba HTML5
de 2009 se comienza a distribuir esta nueva 26 de 2.-Se introduce la función Text to Speech
Eclair 2.0–2.1 actualización. Para Enero de 2010 aparece el Nexus octubre d 3.-Brillo automático
One equipado con esta versión y el celular que e 2009 4.-Fondos de pantalla animados
quería destronar a Apple con su iPhone y iOS. 5.-Zoom digital en la cámara
23
Basado en Honeycomb, ICS marcó un antes y un
después en las mejoras de Android, es un parteaguas 1.-Diseño completamente nuevo
Ice para las siguientes actualizaciones. Samsung 2.-Desbloqueo por reconocimiento facial
18 de
Cream presentó el Galaxy Nexus el cual tenía un trabajo 3.-Cambio de Android Market a Google Play
4.0–4.0.5 octubre 2
Sandwi difícil para convencer a la audiencia de esta nueva 4.-Capturas de pantalla
011
ch cara de Android, una interfaz mucho más sencilla y 5.-Multitarea mejorada y con un botón
refinada pero que no le restaba funcionalidad, al dedicado
contrario.
llama la atención que ahora Nougat sea la versión más distribuida, la cosa no pintaba mejor
hasta hace poco tiempo. meses pasados veíamos como Android Marshmallow seguía
siendo la versión de Android dominante en el mercado, un sistema operativo que fue
lanzado para dispositivos compatibles hace algo más de dos años. Ahora que Android Oreo
lleva entre nosotros varios meses, es la anterior versión quien comienza a asentarse en el
mercado. Pues aún hay millones de usuarios que tienen en su móvil instaladas versiones de
Android con más de dos años de antigüedad, como muestra el siguiente gráfico de
distribución Android.
Plataforma Android.
25
Android es una plataforma de código abierto, con gran ventaja sobre los demás sistemas operativos
para móviles como Nokia (Symbian), Apple (iOS) o RIM (Blackberry), ya que fabricantes,
operadores y desarrolladores pueden dar mayor utilidad al Smartphone o tableta. Además de ser un
sistema gratuito y multiplataforma, ha permitido instalarse de manera prácticamente fácil en
dispositivos móviles aun con gamas bajas.
“Android es un software pensado para dispositivos móviles que incluye el sistema operativo como
middleware y diversas aplicaciones de usuario. Todas las aplicaciones para Android se programan
en lenguaje java y son ejecutables en una máquina virtual diseñada para esta plataforma,
llamada Dalvik y ART”.
Las versiones anteriores de Android se basan en Linux Kernel. La siguiente figura se relaciona las
versiones de Android con el kernel de Linux:
26
6.0 Marshmallow |23 |3.18.10
7.0 Nougat |24 |4.4.1
7.1 Nougat |25 |4.4.1
8.0 Oreo |26 |4.10
https://android.stackexchange.com/questions/51651/which-android-runs-which-linux-
kernel
27
impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de
cuatro años y con treinta a noventa días-multa.
Será reprimido con la misma pena, el que accede a un sistema informático excediendo lo
autorizado.”
El que deliberada e ilegítimamente daña, introduce, borra, deteriora, altera, suprime o hace
inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor de
tres ni mayor de seis años y con ochenta a ciento veinte días-multa.”
La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el
delito recaiga sobre información clasificada como secreta, reservada o confidencial de
conformidad con la Ley 27806, Ley de Transparencia y Acceso a la Información Pública.
La pena privativa de libertad será no menor de ocho ni mayor de diez cuando el delito
comprometa la defensa, seguridad o soberanía nacionales.
28
Si el agente comete el delito como integrante de una organización criminal, la pena se
incrementa hasta en un tercio por encima del máximo legal previsto en los supuestos
anteriores.”
La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a
ciento cuarenta días-multa cuando se afecte el patrimonio del Estado destinado afines
asistenciales o a programas de apoyo social.”
Sección del trabajo de tesis donde se citan las referencias teóricas y antecedentes que sustentan el
trabajo de investigación para cada uno de los objetivos propuestos de una forma crítica, explicando
su importancia y relevancia con el trabajo realizado. Evitar la información irrelevante que no
contribuya al logro de los objetivos planteados.
Materiales herramientas
29
ADB: es una herramienta que se sitúa entre el dispositivo y el sistema de
desarrollo. Provee al desarrollador de funcionalidades de gestión como sincronización de
archivos, consola UNIX y comunicación entre dispositivos conectados y emuladores.
DbBrowser SQLite: Es una herramienta de código abierto para crear, diseñar y editar
archivos de bases de datos compatibles con SQLite. Sirve además para crear bases de
datos, importar y exportar registros, emite consultas SQL, exportar tablas a archivos CSV
y otras funciones que la hacen una herramienta potente para bases de datos.
Kali Linux: Kali Linux es una distribución de Linux avanzada para pruebas de
penetración y auditorías de seguridad. Kali es una completa re-construcción de
BackTrack Linux desde la base hacia arriba, y se adhiere completamente a los estándares
de desarrollo de Debian.
Wireshark: Está basado en la API pcap diseñada para la captura de paquetes de red y
añade interfaz de usuario. La aplicación es capaz de filtrar más de 1100 protocolos y
mostrar la información de manera estructurada, con todos los campos de las cabeceras y
capas de los paquetes capturados.
30
Descripción de dispositivos smartphones
Métodos y técnicas
Metodología experimental
METODOLOGÍA
Población y muestra.
Para esta investigación se tomó como población todos los dispositivos móviles con un
sistema operativo Android y como muestra se tomó a los dispositivos móviles con sistema
operativo Android con las versiones más usadas de acuerdo a las estadísticas de uso del
siguiente cuadro realizado por la empresa Google Inc.
31
Fuente:
Análisis estadístico
32
Sección de la tesis donde se describe con detalle el material experimental utilizado en la
investigación. Así mismo, los métodos materiales y técnicas empleados para cada uno de los
objetivos propuestos (evitando repeticiones). En el caso de material de laboratorio y equipos se
debe indicar entre paréntesis las especificaciones técnicas (modelo, marca, número de serie y
procedencia de los mismos). En el caso de reactivos la marca, lote y fecha de vencimiento de los
mismos. De igual manera, se debe señalar la metodología experimental empleada y el análisis
estadístico utilizado en la interpretación de los datos de la investigación.
Resultados
35
45 45 45 45 45
CONTROL DE ACCESOS
% % % % %
10 10 10 10 10
Existe una política de control de accesos
SI 0% SI 0% SI 0% SI 0% SI 0%
Existe un procedimiento formal de registro y
baja de accesos NO 0% NO 0% NO 0% NO 0% NO 0%
Se controla y restringe la asignación y uso de
privilegios en entornos multi-usuario NO 0% NO 0% NO 0% NO 0% NO 0%
Existe una gestión de los password de 10 10 10 10 10
usuarios SI 0% SI 0% SI 0% SI 0% SI 0%
Existe una revisión de los derechos de acceso
de los usuarios NO 0% NO 0% NO 0% NO 0% NO 0%
10 10 10 10 10
Existe el uso del password
SI 0% SI 0% SI 0% SI 0% SI 0%
Se protege el acceso de los equipos
desatendidos NO 0% NO 0% NO 0% NO 0% NO 0%
Existe una política de uso de los servicios de 10 10 10 10 10
red SI 0% SI 0% SI 0% SI 0% SI 0%
Se asegura la ruta (path) desde el terminal al
servicio NO 0% NO 0% NO 0% NO 0% NO 0%
Existe una autenticación de usuarios en 10 10 10 10 10
conexiones externas SI 0% SI 0% SI 0% SI 0% SI 0%
Existe una autenticación de los nodos NO 0% NO 0% NO 0% NO 0% NO 0%
10 10 10 10 10
Existe un control de la conexión de redes
SI 0% SI 0% SI 0% SI 0% SI 0%
10 10 10 10 10
Existe un control del routing de las redes
SI 0% SI 0% SI 0% SI 0% SI 0%
Existe una identificación única de usuario y
una automática de terminales NO 0% NO 0% NO 0% NO 0% NO 0%
Existen procedimientos de log-on al terminal NO 0% NO 0% NO 0% NO 0% NO 0%
Se ha incorporado medidas de seguridad a la 10 10 10 10 10
computación móvil SI 0% SI 0% SI 0% SI 0% SI 0%
DESARROLLO Y MANTENIMIENTO 50 50 50 50 50
DE LOS SISTEMAS % % % % %
Se asegura que la seguridad está implantada 10 10 10 10 10
en los Sistemas de Información SI 0% SI 0% SI 0% SI 0% SI 0%
10 10 10 10 10
Existe seguridad en las aplicaciones
SI 0% SI 0% SI 0% SI 0% SI 0%
Existen controles criptográficos. NO 0% NO 0% NO 0% NO 0% NO 0%
Existe seguridad en los ficheros de los
sistemas NO 0% NO 0% NO 0% NO 0% NO 0%
Existe seguridad en los procesos de 10 10 10 10 10
desarrollo, testing y soporte SI 0% SI 0% SI 0% SI 0% SI 0%
Existen controles de seguridad para los 10 10 10 10 10
resultados de los sistemas SI 0% SI 0% SI 0% SI 0% SI 0%
Existe la gestión de los cambios en los SO. NO 0% NO 0% NO 0% NO 0% NO 0%
Se controlan las vulnerabilidades de los SI 10 SI 10 SI 10 SI 10 SI 10
36
equipos 0% 0% 0% 0% 0%
63 63 63 63 63
ADMINISTRACIÓN DE INCIDENTES
% % % % %
10 10 10 10 10
Se comunican los eventos de seguridad
SI 0% SI 0% SI 0% SI 0% SI 0%
10 10 10 10 10
Se comunican los debilidadesde seguridad
SI 0% SI 0% SI 0% SI 0% SI 0%
Existe definidas las responsabilidades antes
un incidente. NO 0% NO 0% NO 0% NO 0% NO 0%
Existe un procedimiento formal de respuesta NO 0% NO 0% NO 0% NO 0% NO 0%
Existe la gestión de incidentes NO 0% NO 0% NO 0% NO 0% NO 0%
40 40 40 40 40
CUMPLIMIENTO
% % % % %
Se tiene en cuenta el cumplimiento con la
legislación por parte de los sistemas NO 0% NO 0% NO 0% NO 0% NO 0%
10 10 10 10 10
Existe el resguardo de la propiedad intelectual
SI 0% SI 0% SI 0% SI 0% SI 0%
Existe el resguardo de los registros de la 10 10 10 10 10
organización SI 0% SI 0% SI 0% SI 0% SI 0%
Existe una revisión de la política de seguridad 10 10 10 10 10
y de la conformidad técnica SI 0% SI 0% SI 0% SI 0% SI 0%
Existen consideraciones sobre las auditorías 10 10 10 10 10
de los sistemas SI 0% SI 0% SI 0% SI 0% SI 0%
80 80 80 80 80
% % % % %
Luego de ejecutar las diferentes pruebas para los dispositivos Android se llegó a los
siguientes resultados:
RESULTADOS PENT-TEST
38
PRUEBA EJECUTADA ANÁLISIS DEL SISTEMA OPERATIVO
como bases de datos, preferencias y archivos que
mediante código pueden ser alterados como
shareprefs (preferencias de la aplicación)
39
Análisis de Trafico
40
PRUEBA EJECUTADA PRUEBA DE PENETRACIÓN
TÉCNICA PREVENTIVA Emplear un programa de cifrado de archivos, guardar
información sensible en sitio seguro, realizar copia de
seguridad de los datos, no abrir correos electrónicos de
los cuales se desconozca el remitente, verificar bien
antes de instalar cualquier aplicación
ANÁLISIS DE CÓDIGO
41
PRUEBA ANÁLISIS DEL ARCHIVO ANDROID MANIFEST
EJECUTADA
declaraciones públicas de los componentes. Si el valor
"exported" es verdadero esto permite a cualquier
componente comunicarse. (Anexo B)
<receiver
android:name="com.inmobi.commons.analytics.andr
oidsdk.IMAdTrackerReceiver" android:enabled="true"
android:exported="true">
<provider
android:name="com.appeggs.downloads.DownloadPr ovider"
android:authorities="com.appeggs.downloads" />
42
Análisis de código de la aplicación snapdeal.com
43
VULNERABILIDAD CLASE EJEMPLO DE CODIGO
pareAndSet(true, false))
AdTrackerNetworkInterface.setWeb
viewUploadStatus(false);
synchronized
(AdTrackerNetworkInterface.getNet
workThread())
{
AdTrackerNetworkInterface.getNetw
orkThread().notify();
AdTrackerUtils.reportMetric(AdTrack
erEventType.GOAL_FAILURE,
AdTrackerWebViewLoader.b(AdTra
ckerWebViewLoader.this), 0, 0L,
paramInt, null);
Log.internal("[InMobi]-
[AdTracker]-4.4.3", "Webview
Received Error");
super.onReceivedError(paramWebV
iew, paramInt, paramString1,
paramString2);
return;
}
catch (Exception localException)
{
while (true)
Log.internal("[InMobi]-
[AdTracker]-4.4.3", "Exception
onReceived Error", localException);
}
}
44
VULNERABILIDAD CLASE EJEMPLO DE CODIGO
localMessage.setData(localBundle);
localMessage.sendToTarget();
}
TECNICA Aunque pueden ser falsos positivos, los códigos deben ser
PREVENTIVA revisados de tal manera que no se afecte el uso de la aplicación y
que no sean peligros potenciales para el usuario que instalen
la aplicación, ya que al acceder al código se pueden manipular
varios elementos que pueden acceder a la información del
dispositivo donde se instala.
45
Los resultados pueden ser presentados en forma de Tablas o Figuras según corresponda,
(cuidando de no presentar los mismos resultados en ambas modalidades) de la forma más clara y
concisa posible. Se deben comparar o contrastar los resultados obtenidos con aquellos
previamente señalados en la sección de Revisión de Literatura, destacando la nueva información
lograda a partir del trabajo de investigación desarrollado.
V. CONCLUSIONES
- Las vulnerabilidades que se presentan en los dispositivos móviles con Android, son en
su mayoría por la falta de conocimiento de los usuarios y por la poca precaución que
tienen al instalar aplicaciones.
- Existen numerosas herramientas para el análisis del sistema operativo Android, como las
vistas en el presente documento, son herramientas útiles tanto para técnicas de pent-
testing como análisis forense que permiten analizar los datos almacenados en el
dispositivo, buscar vulnerabilidades, pero mal utilizadas permiten igualmente modificar
o dañar la información del dispositivo.
46
uso seguro para este tipo de dispositivos.
47
1
6 VI. RECOMENDACIONES
27
28
48
29
30 VII. REFERENCIAS
39 ANEXOS
44
49