Mobile App y Cdigo Mobile Security Riesgos Hay 2 grandes categoras de riesgos de seguridad de cdigo mvil. La categora de Funcionalidad malicioso es una lista de comportamientos cdigo mvil no deseados y peligrosos que se colocan a hurtadillas en una aplicacin de Troya que el usuario es engaado para instalar. El usuario piensa que instalen un juego o una utilidad y spyware en vez quedan ocultos, la interfaz de usuario de phishing, o marcacin prima no autorizado. A. malicioso Funcionalidad 1. Monitoreo y los datos de actividad de recuperacin 2. No autorizadas de marcacin, SMS, y los pagos 3. Conectividad de red no autorizada (exfiltracin o comando y control) 4. IU Suplantacin 5. Modificacin del sistema (rootkit, APN Proxy config) 6. Logic o Bomba de tiempo
La categora de las vulnerabilidades de seguridad mvil son errores en el diseo o
implementacin que exponen los datos de dispositivos mviles para la interceptacin y la recuperacin de los atacantes. Las vulnerabilidades de seguridad Cdigo de mviles tambin pueden exponer al dispositivo mvil o las aplicaciones en la nube utilizados desde el dispositivo al acceso no autorizado. B. Vulnerabilidades 1. La fuga de informacin sensible (canal inadvertida o lateral) 2. El almacenamiento de datos sensibles en condiciones de riesgo 3. La transmisin de datos sensibles en condiciones de riesgo 4. Contraseas / claves codificadas Haga clic aqu para ver la demostracin de la plataforma de seguridad mvil Cdigo de Veracode
La Seguridad Pila Cdigo Mobile
El aumento de las tasas de adopcin de telfonos inteligentes, junto con el rpido crecimiento en los recuentos de aplicaciones de telfonos inteligentes han creado un escenario en el que la informacin privada y sensible est siendo empujado al nuevo permetro dispositivo a un ritmo alarmante. El dispositivo mvil telfono inteligente se est convirtiendo rpidamente en todas partes. Si bien hay mucho solapamiento con modelos comunes del sistema operativo, el modelo de mvil el cdigo de seguridad dispositivo tiene algunos puntos distintos de diferenciacin. La pila de seguridad de cdigo mvil puede ser dividido en cuatro capas distintas. La capa ms baja de la pila es la capa de infraestructura, seguidos hacia arriba por el hardware, sistema operativo y capas de aplicacin. Estas capas de la pila de seguridad definen cada uno una seccin aparte del modelo de seguridad de un telfono inteligente o dispositivo mvil. Cada capa del modelo de Cdigo Mobile Security es responsable de la seguridad de sus componentes definidos y nada ms. Las capas superiores de la pila se basan en todas las capas inferiores para asegurar que sus componentes son
adecuadamente seguros. Este modelo basado en la abstraccin permite el diseo
de un mecanismo de seguridad mvil en particular para centrarse en una sola rea especfica de preocupacin sin gastar los recursos necesarios para analizar todas las capas que apoyan su posicin actual dentro de la pila.
Mobile Security - Capa de Infraestructura
La capa de infraestructura es la ms baja y por lo tanto la capa ms apoyo de la pila de seguridad de cdigo mvil. Esta capa es la base que soporta todos los otros niveles de la modelo. La mayora de los componentes funcionales de esta capa son propiedad y estn operados por un operador de telefona mvil o proveedor de infraestructura; Sin embargo integracin en el auricular se produce como se transmiten datos desde este nivel hacia arriba. Portadoras de voz y datos celulares operan la infraestructura que lleva todos los datos y las comunicaciones de voz de punto final a punto final. La seguridad de los componentes de este nivel normalmente abarca los protocolos en uso por los transportistas y los propios proveedores de infraestructura. Ejemplos de tales protocolos incluyen la divisin de cdigo de protocolo de acceso mltiple (CDMA), sistema global para comunicaciones mviles (GSM), sistemas de posiciones global (GPS), sistemas de mensajes cortos (SMS), y los sistemas de mensajera multimedia (MMS). Debido a la naturaleza fundacional de baja de este nivel de seguridad en particular, fallas o vulnerabilidades descubiertas en este nivel son generalmente eficaces a travs de mltiples plataformas, mltiples compaas y mltiples proveedores establecidos auricular.
Mobile Security - Capa de Hardware
A medida que se asciende en la pila para el segundo nivel de la pila de seguridad de cdigo mvil, nos estamos moviendo en el mbito de una unidad fsica que es tpicamente bajo el control directo de un usuario final. La capa de hardware es identificada por el equipo de las instalaciones del usuario final individual, generalmente en la forma de un dispositivo mvil smartphone o estilo tableta. La capa de hardware es accesible para el sistema operativo que permite el control directo de los componentes fsicos de la unidad. Este hardware es generalmente llamado el "firmware" y se actualiza por el fabricante fsica de la terminal y de vez en cuando entreg por poder a travs de la compaa de telfono. Fallos de seguridad o vulnerabilidades descubiertas en esta capa suelen afectar a todos los usuarios finales que utilizan una determinada pieza de hardware o componente de hardware individual. Si una falla de hardware se descubre en el dispositivo de un solo fabricante, es ms que probable que todas las revisiones de hardware usando que el diseo y / o chip similares se efectuarn tambin.
Mobile Security - Capa de Sistema Operativo
El tercer nivel en la pila de seguridad de cdigo mvil es la capa del sistema operativo. Esta capa se corresponde con el software que se ejecuta en un dispositivo que permite la comunicacin entre el hardware y los niveles de aplicacin. El sistema operativo se actualiza peridicamente con mejoras de funciones, parches y correcciones de seguridad que puede o no coincidir con los
parches realizados en el firmware por el fabricante del terminal fsico. El sistema
operativo proporciona el acceso a sus recursos a travs de la publicacin de las interfaces de programacin de aplicaciones. Estos recursos estn disponibles para ser consumido por la capa de aplicacin, ya que es la nica capa superior en la pila que el propio sistema operativo. Simultneamente, el sistema operativo se comunica con el hardware / firmware para ejecutar procesos y pasar datos hacia y desde el dispositivo. Fallas del sistema operativo son un tipo de defecto muy comn y en la actualidad tienden a ser el destino de eleccin para los atacantes que deseen tener un alto impacto. Si se descubre un defecto de funcionamiento, toda la base instalada de que la revisin del sistema operativo en particular probablemente ser vulnerable. Es en esta capa, y por encima, donde el software es el mecanismo de aplicacin imperiosa de garantizar. En concreto debido al hecho de que el software sea invocada, el sistema operativo, y la capa de aplicacin anterior, es el lugar ms comn donde se descubren fallas de seguridad.
Mobile Security - Capa de aplicacin
El nivel de aplicacin reside en la parte superior de la pila de seguridad mvil y es la capa que el usuario final interacta directamente con. La capa de aplicacin se identifica mediante procesos que utilizan las interfaces de programacin de aplicaciones proporcionadas por la capa de sistema operativo como un punto de entrada en el resto de la pila de ejecucin. Fallas de seguridad de capa de aplicacin general son el resultado de defectos de codificacin en aplicaciones que se envan ya sea con o instalados en un dispositivo mvil despus de la implementacin. Estos defectos provienen de las clases que son similares a la zona de la informtica personal. Desbordamiento de bfer, el almacenamiento inseguro de datos sensibles, los algoritmos criptogrficos impropias, contraseas codificadas, y aplicaciones de una puerta trasera son slo un conjunto de muestras de las clases de defectos de capa de aplicacin. El resultado de explotacin de los fallos de seguridad de capa de aplicacin puede variar de elevacin de privilegios del sistema operativo para la exfiltracin de datos sensibles.
Cmo probar la seguridad del cdigo mvil
Al analizar un dispositivo individual para implicaciones de seguridad, se debe tener en cuenta cada una de las capas de la pila de seguridad de cdigo mvil y determinar la eficacia de los mecanismos de seguridad que se encuentran en el lugar. En cada capa de determinar qu, si las hay, mecanismos de seguridad y mitigaciones el fabricante ha puesto en marcha y si esos mecanismos son suficientes para el tipo de datos que va a guardar y el acceso en el dispositivo.