ACM Transactions on Computer-Human Interaction Seguridad en Smartphones

26

Seguridad en SmartPhones

AMBULUDI JOHN, Universidad Tecnica Particular de LojaCASTILLO EDWIN, Universidad Tecnica Particular de LojaCORDOVA ERICK, Universidad Tecnica Particular de LojaLIMA MILTON, Universidad Tecnica Particular de Loja

En la actualidad un sin numero de telefonos se han introducido e influido en la manera en la que llevamosnuestras vidas. No importa si se les llama smartphones, computadoras de mano, telefonos de funciones o PCsde bolsillo, al final resultan en telefonos celulares con computadoras integradas. Se diferencian de otros enque cuentan con un sistema operativo complejo, pueden ejecutar una diversidad de aplicaciones de softwarey proporcionar acceso a la web. Los nuevos modelos aparecen a un ritmo vertiginoso, cada uno con nuevasfunciones, la promesa de ser mas rapidos, avanzados, versatiles y con mayor facilidad de uso. La combinacionde popularidad, precios bajos, disponibilidad inmediata y nuevas caractersticas, pueden llevar a los usuariosa pasar por alto aspectos importantes de seguridad que se aplican a todas las computadoras en red, sinimportar su tamano. Los usuarios actuales de smartphones se encuentran en una situacion muy similar a laque enfrentaban hace quince anos usuarios de computadoras. Los recursos de seguridad para smartphonesson limitados y no estan totalmente desarrollados. Como resultado, la mayora de los smartphones poseenun menor nivel de seguridad si se les compara con los equipos de escritorio o laptops. Mientras tanto, lacomplejidad de los smartphones sigue creciendo junto con el numero y tipo de amenazas transmitidas por lared. Esto hace de los smartphones un objetivo facil para el malware (software malicioso) y para los intrusos,y un objetivo mas atractivo que los equipos de escritorio o portatiles protegidos adecuadamente.

En el presente artculo se presenta un analisis teorico acerca de algunos sistemas operativos de SmartP-hones los mismos que si bien han incrementado su demanda en el mercado, tambien han incrementado susvulnerabilidades frente a posibles ataques. Este analisis se presenta mediante una tabla comparativa entrelos sistemas IOS DE APPLE y ANDROID permitiendo de esta forma conocer el sistema operativo menosvulnerable a malware e intrusos.

Categories and Subject Descriptors: ACM [Transactions on Computer-Human Interaction]: Seguridad

General Terms: Seguridad, Cibercrimen, Vulnerabilidades

Additional Key Words and Phrases: Telefonos inteligentes, malware, iOS, medidas de seguridad, ataques ausuarios

ACM Reference Format:Ambulud John, Castillo Edwin, Cordova Erick y Lima Milton, 2014. Seguridad en SmartPhones ACMTrans. Comput.-Hum. Interact. 21, 5, Article 26 (July 2014), 7 pages.DOI:http://dx.doi.org/10.1145/0000000.0000000

Este trabajo es apoyado por la Universidad de las Fuerzas Armadas ESPE, bajo las concesiones CNS-0435060, CCR-0325197 y EN-CS-0329609.Direcciones de los autores: A. John, Seccion Departamental de Electronica y Energa, Universidad TecnicaParticular de Loja; C. A. Edwin y C. Erick, Seccion Departamental Telecomunicaciones y Redes, UniversidadTecnica Particular de Loja; L. Milton, Seccion Departamental Ciencias de la Computacion y Electronica,Universidad Tecnica Particular de Loja.Permission to make digital or hard copies of part or all of this work for personal or classroom use is grantedwithout fee provided that copies are not made or distributed for profit or commercial advantage and thatcopies show this notice on the first page or initial screen of a display along with the full citation. Copyrightsfor components of this work owned by others than ACM must be honored. Abstracting with credit is per-mitted. To copy otherwise, to republish, to post on servers, to redistribute to lists, or to use any componentof this work in other works requires prior specific permission and/or a fee. Permissions may be requestedfrom Publications Dept., ACM, Inc., 2 Penn Plaza, Suite 701, New York, NY 10121-0701 USA, fax +1 (212)869-0481, or [email protected] 2014 ACM 1073-0516/2014/07-ART26 $15.00DOI:http://dx.doi.org/10.1145/0000000.0000000

ACM Transactions on Computer-Human Interaction, Vol. 21, No. 5, Article 26, Publication date: July 2014.

26:2 Autores

1. INTRODUCCIONDeterminar la seguridad en los dispositivos moviles se ha tornado un tema muy

fundamental hoy en da, dando a conocer a toda la poblacion mundial que gran par-te de estafas, robo de informacion, dano a la persona, extorsion, se da por este medioconociendose con el nombre de cibercrimen. El aumento de aplicaciones en los siste-mas operativos de dispositivos moviles ha permitido que se disparen nuevos riesgos deseguridad. Las funcionalidades mas usadas por los usuarios en telefonos inteligentesson el acceso a redes sociales, compras online, transacciones bancarias y navegacionpor la web. Por este y otros motivos se debe tomar las precauciones necesarias paragarantizar el respaldo, seguridad e integridad de la persona cuando da uso a este dis-positivo. En el transcurso de este documento se hara referencia a las vulnerabilidades,los sistemas operativos en dispositivos mas vulnerables, ataques comunes y que hacerpara evitarlos.

2. CIBERCRIMENEl cibercrimen en dispositivos moviles es un delito; un intruso pretende conseguir

un beneficio principalmente economico, causar danos y perjuicios a la persona quien lousa. Estos cibercriminales crean virus informaticos y programas troyanos que puedenentre otras afecciones:

Robar los codigos de acceso a cuentas bancarias.Promocionar productos o servicios en el ordenador de la vctima.Utilizar ilegalmente los recursos de un ordenador infectado para desarrollar y ejecu-tar:r Campanas de spam.r Ataques a la red distribuidos (tambien llamados ataques DDoS).r Operaciones de chantaje.Los telefonos inteligentes, smartphones, son objetivo del cibercrimen segun un ex-

perto de RIM, la empresa de BlackBerry. Scott Totzke ha afirmado a Reuters que altratarse de moviles que son practicamente ordenadores, pueden ser objeto de ataquesde denegacion de servicio1 de la misma manera que lo son las computadoras. Un finmuy difcil de combatir a los cibercriminales de telefonos inteligentes, es la llama-da ingeniera social, en la que el asaltante obtiene informacion delicada enganando aquien la posee haciendose pasar por una persona de su confianza o con metodos simi-lares. Segun un informe de Symatec: ((Con el aumento de las amenazas polimorficasy la explosion de malware en el 2009, la industria se ha dado cuenta de que los enfo-ques tradicionales de antivirus no son suficientes para protegerse contra las amenazasactuales)).

3. TIPOS DE ATAQUES EN DISPOSITIVOS EN DISPOSITIVOS MOVILES INTELIGENTESEntre los ataques mas comunes, planificados por los atacantes tenemos:

Ataques basados en la web y en redes.Software malicioso.Ataques de ingeniera social.Abuso de disponibilidad de servicios y recursos.Perdida de datos maliciosa y no intencionada.Ataques sobre la integridad de los datos del dispositivo.

1Denegacion de servicio, lanzamiento masivo de peticiones de acceso a un sitio para bloquearlo.


Seguridad en SmartPhones 26:3

4. IOS DE APPLEEl sistema operativo iOS de Apple empleado en dispoditivos como iPods, iPhones o

iPads, es una version reducida del sistema operativo OS Apple. Este sistema esta biendisenado y cuenta con un mejor empleo de seguridad, pero si hablamos de vulnerabi-lidades posee muchas mas. Investigadores en seguridad descubrieron 200 vulnerabili-dades diferentes en diversas versiones del sistema operativo iOS desde su lanzamientoinicial. Casi la totalidad de estas vulnerabilidades corresponda a un nivel de severi-dad bajo. La mayora permitira al atacante tomar control de un solo proceso, comoSafari, pero no le permitira tomar control del dispositivo a nivel administrador. Lasdemas vulnerabilidades correspondan a una severidad mayor, las mismas permitiranal atacante tomar control del dispositivo a nivel administrador, suministrandole accesoa casi todos los datos y servicios del dispositivo. Estas vulnerabilidades mas severasse clasifican como vulnerabilidades de ((escalamiento de privilegios)) porque permitenque el atacante aumente los mismos y obtenga el control total del dispositivo. Segun losdatos de Symantec al momento en que se redacto esta investigacion, Apple tardo apro-ximadamente 12 das en corregir cada vulnerabilidad una vez descubierta.

4.1. Medidas de Seguridad en el Sistema Operativo iOSEl sistema de encriptacion de iOS ofrece una solida proteccion para los mensajes decorreo electronico y sus archivos adjuntos, y permite el borrado del dispositivo, peroofrece poca proteccion contra los ataques a dispositivos fsicos de un determinadoatacante.El enfoque de procedencia de iOS garantiza que Apple estudia de forma cuidadosacada aplicacion publica disponible. A pesar de que este enfoque de estudio exhaustivono es a toda prueba y puede ser evadido por un determinado atacante casi con segu-ridad; ha demostrado ser un gran obstaculo para los ataques de software malicioso,perdida de datos, integridad de datos y negacion de servicio.El modelo de aislamiento de iOS evita completamente los tipos de virus informaticosy gusanos tradicionales y limita los datos a los que el spyware puede acceder. Tambienlimita la mayora de los ataques basados en la red, como por ejemplo que la memoriabuffer tome control del dispositivo. Sin embargo, no necesariamente evita todos lostipos de ataques de perdida de datos, abuso de recursos o integridad de los datos.El modelo de permisos de iOS garantiza que las aplicaciones no puedan obtener laubicacion del dispositivo, enviar mensajes SMS ni iniciar llamadas sin el permiso delpropietario.

5. ANDROIDAndroid es una union entre el sistema operativo Linux y una plataforma basada en

Java denominada Dalvik, una version de la popular plataforma Java.

5.1. VulnerabilidadesLos investigadores de seguridad haban descubierto un total de 18 vulnerabilidades

diferentes en diversas versiones del sistema operativo Android desde su lanzamien-to. De manera similar al sistema Apple, la mayora de estas vulnerabilidades corres-pondan a un nivel bajo de severidad y solo podran permitir al atacante tomar controlde un solo proceso, mas no tomar control del dispositivo a nivel administrador.

Las restantes correspondan a un nivel de severidad mayor, y podran permitiral atacante tomar control del dispositivo a nivel raz, suministrandole acceso a casitodos los datos del dispositivo. Hasta la fecha, Google ha corregido 14 de estas 18vulnerabilidades. De las cuatro vulnerabilidades no corregidas, una corresponde altipo de escalamiento de privilegios mas severo. Esta vulnerabilidad fue corregida en la


26:4 Autores

version 2.3 de Android, mas no en versiones anteriores del mencionado sistema. Dadoque la mayora de los proveedores no han actualizado los telefonos de sus clientesde Android, practicamente todos sus dispositivos podran ser vulnerables a ataques.Esta vulnerabilidad puede ser aprovechada por cualquier aplicacion de terceros yno requiere que el atacante tenga acceso fsico al dispositivo. Segun los datos deSymantec, Google tardo aproximadamente 8 das en corregir cada vulnerabilidad unavez descubierta.

5.2. Permisos en las aplicaciones de AndroidQue hay detras?Cuando descargamos alguna aplicacion desde Google Play son requeridos varios per-

misos que en mas de una ocasion nos han llamado la atencion y se hacen presentes pre-guntas como Por que se requieren estos permisos? Se relacionan con la aplicacion?Es seguro otorgarlos?

La respuesta en general, aunque suene un tanto simple, normalmente es porque losnecesitan. Los fabricantes de smartphones han implementado un mecanismo de segu-ridad que permite a los usuarios del dispositivo controlar que no ocurran situacionesno deseadas, y a su vez en donde sean requeridos se admitan estos permisos.

Vamos a tomar como ejemplo a la aplicacion Perpetuall, la cual permite mantenernuestros contactos siempre actualizados.

Que permisos solicita?

Fig. 1. Permisos solicitados por la aplicacin PERPETUALL

Haciendo referencia a los argumentos dictados por uno de sus creadores, a continua-cion se explica el porque de algunos de ellos.

ID de dispositivo, SMS y Telefono



Lo que se busca es que cuando un usuario se registre con un numero telefonico seevite la suplantacion de identidad. Un SMS es enviado con un codigo que debe serintroducido en la aplicacion. Para evitar un proceso manual, la aplicacion tiene unaacceso a los SMS, confirma el envo del mismo y lo introduce en el parametro que as lorequiere.

Fotos/Medios/ArchivosEl almacenamiento externo es para que la aplicacion pueda ser trasladada a una

memoria externa cuando la interna ya esta en su lmite de capacidad.En breves rasgos podemos observar que dichos permisos son justificados y en s lo

que buscan los desarrolladores es brindar el mayor confort a los usuarios.Ahora bien, nosotros como usuarios que medidas debemos tomar para saber si los

permisos solicitados guardan coherencia con la aplicacion? Solicitar un permiso es unaaccion que bien puede usarse de manera malintencionada, si se solicita acceso a latarjeta de memoria secundaria de un telefono y esta es permitida, se otorgara practi-camente un acceso a ((todo)).

Como primera pauta debemos instalar solamente aplicaciones que se alojan en sitiosconfiables; si bien es cierto, aunque el porcentaje de confiabilidad no es total, la giganteGoogle busca que en su tienda de aplicaciones (Google Play) solamente se oferten lasque son seguras y siguen protocolos que excluyen a desarrolladores maliciosos.

Otras medidas que se pueden adoptar son fijarse en los comentarios que otros usua-rios han dado por escrito luego de la interaccion con la aplicacion, ademas que loscreadores de la misma expliquen la necesidad de los permisos que solicitan.

Por ultimo esta el recurso ((sospecha)), la idea es formar usuarios curiosos que inda-guen acerca de los permisos que segun su criterio estan injustificados, y que, como fininicial, aprovechen todos los recursos posibles de sus smartphones, y as facilitar unsin numero de actividades llevadas da a da.

5.3. Aspectos importantes de la seguridad de AndroidConsideramos que el modelo de seguridad de Android representa una mejora im-

portante por sobre los modelos utilizados por los sistemas operativos de escritorio ybasados en servidores; sin embargo, presenta dos desventajas importantes. En primerlugar, su sistema de procedencia permite que los atacantes creen y distribuyan softwa-re malicioso en forma anonima. En segundo lugar, aunque su sistema de permisos esextremadamente potente, es el usuario el que debe tomar las decisiones importantesrelacionadas con la seguridad, y desafortunadamente, la mayora no estan capacita-dos tecnicamente para tomar dichas decisiones, lo que ya ha dado lugar a ataques deingeniera social.

En resumen:

El enfoque de procedencia de Android garantiza que solo se puedan instalar aplica-ciones firmadas digitalmente en dispositivos que corren este sistema operativo. Sinembargo, los atacantes pueden utilizar certificados digitales anonimos para firmarsus amenazas y distribuirlas por Internet sin ninguna certificacion de Google. Losatacantes tambien pueden ((troyanizar)) o inyectar codigos maliciosos facilmente enaplicaciones legtimas y redistribuirlos facilmente por Internet, firmandolos con unnuevo certificado anonimo. En cuanto al aspecto positivo, Google requiere que los au-tores de aplicaciones que deseen distribuir las suyas a traves de Google Play paguenun arancel y se registren en Google (compartiendo su firma digital de desarrolladorcon Google). Al igual que con el enfoque de registro de Apple, este representa unobstaculo para los atacantes menos organizados.


26:6 Autores

La poltica de aislamiento predeterminada de Android logra aislar en forma efectivalas aplicaciones entre s y de la mayora de los sistemas del dispositivo, por ejemplo,del kernel del sistema operativo de Android, con diversas excepciones significantes.El modelo de permisos de Android garantiza que las aplicaciones sean aisladas decasi todos los sistemas de los dispositivos principales, a menos que requieran acce-so a dichos sistemas explcitamente. Desafortunadamente, Android deja al usuariola ultima decision acerca de otorgar permisos a una aplicacion o no, lo cual lo de-ja abierto a ataques de ingeniera social. La gran mayora de los usuarios no estanpreparados para tomar estas decisiones, por lo que son vulnerables a ataques de soft-ware malicioso y a todos los ataques secundarios (ataques de denegacion de servicio,perdida de datos, etc.) que pueden ser iniciados por software malicioso.Actualmete Android no ofrece ninguna encriptacion integrada ni predeterminada;solo se basa en el aislamiento y el otorgamiento de permisos para resguardar losdatos. Por ello, un simple jail-break de un telefono Android o el robo de la tarjeta SDde un dispositivo puede significar una gran perdida de datos.

6. FORMAS DE ATAQUES HACIA LOS USUARIOSUna forma que han utilizado los ciberdelincuentes como manera de extorsion a las

personas que usan dispositivos inteligentes, se basa en el envo de mensajes en losque piden un incentivo economico, aduciendo que su telefono ha sido pirateado y quepara desbloquearlo se les enve dinero. A partir de esto debemos tener en cuenta quesiempre habra una nueva forma de burlar la seguridad.

En la actualidad, los cibercriminales van a hacer que la deteccion de sus programasmaliciosos sea cada vez mas compleja y para ello utilizaran de forma cada vez masrecurrente, la tecnologa cloud, un perfecto aliado para ocultar sus agresiones, realizarataques o descargar malware en ordenadores infectados. G Data ya ha comprobado es-te ((modus operandi)), aunque de momento esporadicamente, en determinados troyanosbancarios en 2013. En estos casos, el propio codigo malicioso se completaba dinamica-mente desde la nube en el momento del ataque para evitar detecciones precoces. Losciberdelincuentes estaban siendo mas flexibles y podan disimular mejor los ataques.Segun los expertos de G Data, los criminales se centraran en el robo de los datos per-sonales y la formacion de botnets2 de telefonos inteligentes.

7. RESULTADOS COMPARATIVOS

DESCRIPCION ANDROID IOS APPLEVersion del sistema 4.4 7.1Fecha de lanzamiento 11/2007 06/2007Vulnerabilidades detectadas 18 200Vulnerabilidades arregladas 14 200Tipo de plataforma abierta cerradaKernel Linux OSXActualizaciones S SNumero de aplicaciones 800 000 750 000Instalacion de App de fuentes desconocidas s no

Tabla 1. Comparativa: ANDROID - IOS

2Botnets, es un termino que hace referencia a un conjunto o red de robots informaticos o bots, que se ejecutande manera autonoma y automatica. El artfice de la botnet puede controlar todos los ordenadores/servidoresinfectados de forma remota y se usan para diversas actividades criminales.



8. CONCLUSIONESLos smartphones son dispositivos portatiles de usos multiples que encierran una grancantidad de aplicaciones de terceros los cuales amplan la funcionalidad del dispositi-vo. Los modelos de seguridad de telefonos inteligentes existentes permiten mecanis-mos y procesos que controlan la instalacion y ejecucion de aplicaciones. Aun as, laseguridad funcional de los mecanismos de seguridad que se adopten parece ser con-troversial. Su capacidad para proteger los dispositivos de un ataque de privacidad dedesarrolladores atacantes como los estudiantes de informatica de grado y postgrado,ha demostrado ser poco clara.Este analisis conceptual ha confirmado que todas las plataformas de telefonos inteli-gentes poseen desarrolladores del malware que laboran continuamente permitiendo-se as aumentar los ataques a la privacidad y la cosecha de datos desde el dispositivosin el conocimiento del usuario.Se conoce la facilidad que existe para el desarrollo de aplicaciones de malware porprogramadores promedio que tienen acceso a las herramientas oficiales y bibliote-cas de programacion proporcionadas por plataformas de telefonos inteligentes. Unasolucion contra escenarios de ataque similares no esta disponible.Existen soluciones que se pueden utilizar para evitar un posible brote de malwareen los telefonos inteligentes como el conocimiento del usuario, es decir, dotarlos deinformacion acerca de la seguridad y riesgos de privacidad en plataformas de telefo-nos inteligentes, y ademas proporcionar una distribucion segura de aplicaciones enplataformas de telefonos inteligentes.

9. REFERENCIASEL PAIS, TECNOLOGIA. Los telefonos inteligentes, otro ob-

jetivo del cibercrimen, Barcelona, Noviembre 18, 2009 desdehttp://tecnologia.elpais.com/tecnologia/2009/11/18/actualidad/1258538463 850215.html

SUMMA. Symantec: Un antivirus no sera suficiente en 2010, Julio 21,2014 desde http://www.revistasumma.com/tecnologia/494-symantec-un-antivirus-no-sera-suficiente-en-2010.html

SYMANTEC - SECURITY RESPONSE. Una Mirada a la Seguri-dad de los Dispositivos Moviles. Analisis de los enfoques de segu-ridad de las plataformas iOS de Apple y Android de Google desdehttp://www.sadvisor.com/downloads/InformeSymantecSET.pdf

G DATA. Aficionados al Futbol, dispositivos inteligentes y servicios en lanube, objetivos del cibercrimen en 2014, Madrid, Diciembre 16, 2013 desdehttps://www.gdata.es/pressecenter/comunicados/articulos/3427-aficionados-al-futbol-dispos.html

PERPETUALL. Contactos Siempre Actualizados, desdehttp://www.perpetuall.net/index es.html

CARLOS POLO GIL. Julio 01, 2014 desde http://carlospologil.com/Mylonas A., Dritsas S, Tsoumas V., Gritzalis D., ??Smartphone Security Evaluation

?? The Malware Attack Case?, in Proc. of the International Conference on Security andCryptography (SECRYPT- 2011), P. Samarati, J. Lopez (Eds.), pp. 25-36, SciTePress,Spain, July 2011.


Documents

ACM Transactions on Computer-Human Interaction Seguridad en Smartphones