Download Código Mobile Security

page
1
page
2
page
3
Document related concepts

Sistema operativo móvil wikipedia , lookup

Arquitectura de Windows NT wikipedia , lookup

Android wikipedia , lookup

Uhuru Mobile wikipedia , lookup

Windows NT wikipedia , lookup

Transcript 
Código Mobile Security
Mejorar la seguridad de sus aplicaciones móviles
Mobile App y Código Mobile Security Riesgos
Hay 2 grandes categorías de riesgos de seguridad de código móvil. La categoría
de Funcionalidad malicioso es una lista de comportamientos código móvil no
deseados y peligrosos que se colocan a hurtadillas en una aplicación de Troya
que el usuario es engañado para instalar. El usuario piensa que instalen un juego
o una utilidad y spyware en vez quedan ocultos, la interfaz de usuario de phishing,
o marcación prima no autorizado.
A. malicioso Funcionalidad
1. Monitoreo y los datos de actividad de recuperación
2. No autorizadas de marcación, SMS, y los pagos
3. Conectividad de red no autorizada (exfiltración o comando y control)
4. IU Suplantación
5. Modificación del sistema (rootkit, APN Proxy config)
6. Logic o Bomba de tiempo
La categoría de las vulnerabilidades de seguridad móvil son errores en el diseño o
implementación que exponen los datos de dispositivos móviles para la
interceptación y la recuperación de los atacantes. Las vulnerabilidades de
seguridad Código de móviles también pueden exponer al dispositivo móvil o las
aplicaciones en la nube utilizados desde el dispositivo al acceso no autorizado.
B. Vulnerabilidades
1. La fuga de información sensible (canal inadvertida o lateral)
2. El almacenamiento de datos sensibles en condiciones de riesgo
3. La transmisión de datos sensibles en condiciones de riesgo
4. Contraseñas / claves codificadas
Haga clic aquí para ver la demostración de la plataforma de seguridad móvil Código de Veracode
La Seguridad Pila Código Mobile
El aumento de las tasas de adopción de teléfonos inteligentes, junto con el rápido
crecimiento en los recuentos de aplicaciones de teléfonos inteligentes han creado
un escenario en el que la información privada y sensible está siendo empujado al
nuevo perímetro dispositivo a un ritmo alarmante. El dispositivo móvil teléfono
inteligente se está convirtiendo rápidamente en todas partes. Si bien hay mucho
solapamiento con modelos comunes del sistema operativo, el modelo de móvil el
código de seguridad dispositivo tiene algunos puntos distintos de diferenciación.
La pila de seguridad de código móvil puede ser dividido en cuatro capas
distintas. La capa más baja de la pila es la capa de infraestructura, seguidos hacia
arriba por el hardware, sistema operativo y capas de aplicación. Estas capas de la
pila de seguridad definen cada uno una sección aparte del modelo de seguridad
de un teléfono inteligente o dispositivo móvil.
Cada capa del modelo de Código Mobile Security es responsable de la seguridad
de sus componentes definidos y nada más. Las capas superiores de la pila se
basan en todas las capas inferiores para asegurar que sus componentes son
adecuadamente seguros. Este modelo basado en la abstracción permite el diseño
de un mecanismo de seguridad móvil en particular para centrarse en una sola área
específica de preocupación sin gastar los recursos necesarios para analizar todas
las capas que apoyan su posición actual dentro de la pila.
Mobile Security - Capa de Infraestructura
La capa de infraestructura es la más baja y por lo tanto la capa más apoyo de la
pila de seguridad de código móvil. Esta capa es la base que soporta todos los
otros niveles de la modelo. La mayoría de los componentes funcionales de esta
capa son propiedad y están operados por un operador de telefonía móvil o
proveedor de infraestructura; Sin embargo integración en el auricular se produce
como se transmiten datos desde este nivel hacia arriba.
Portadoras de voz y datos celulares operan la infraestructura que lleva todos los
datos y las comunicaciones de voz de punto final a punto final. La seguridad de los
componentes de este nivel normalmente abarca los protocolos en uso por los
transportistas y los propios proveedores de infraestructura. Ejemplos de tales
protocolos incluyen la división de código de protocolo de acceso múltiple (CDMA),
sistema global para comunicaciones móviles (GSM), sistemas de posiciones
global (GPS), sistemas de mensajes cortos (SMS), y los sistemas de mensajería
multimedia (MMS). Debido a la naturaleza fundacional de baja de este nivel de
seguridad en particular, fallas o vulnerabilidades descubiertas en este nivel son
generalmente eficaces a través de múltiples plataformas, múltiples compañías y
múltiples proveedores establecidos auricular.
Mobile Security - Capa de Hardware
A medida que se asciende en la pila para el segundo nivel de la pila de seguridad
de código móvil, nos estamos moviendo en el ámbito de una unidad física que es
típicamente bajo el control directo de un usuario final. La capa de hardware es
identificada por el equipo de las instalaciones del usuario final individual,
generalmente en la forma de un dispositivo móvil smartphone o estilo tableta. La
capa de hardware es accesible para el sistema operativo que permite el control
directo de los componentes físicos de la unidad. Este hardware es generalmente
llamado el "firmware" y se actualiza por el fabricante física de la terminal y de vez
en cuando entregó por poder a través de la compañía de teléfono. Fallos de
seguridad o vulnerabilidades descubiertas en esta capa suelen afectar a todos los
usuarios finales que utilizan una determinada pieza de hardware o componente de
hardware individual. Si una falla de hardware se descubre en el dispositivo de un
solo fabricante, es más que probable que todas las revisiones de hardware usando
que el diseño y / o chip similares se efectuarán también.
Mobile Security - Capa de Sistema Operativo
El tercer nivel en la pila de seguridad de código móvil es la capa del sistema
operativo. Esta capa se corresponde con el software que se ejecuta en un
dispositivo que permite la comunicación entre el hardware y los niveles de
aplicación. El sistema operativo se actualiza periódicamente con mejoras de
funciones, parches y correcciones de seguridad que puede o no coincidir con los
parches realizados en el firmware por el fabricante del terminal físico. El sistema
operativo proporciona el acceso a sus recursos a través de la publicación de las
interfaces de programación de aplicaciones. Estos recursos están disponibles para
ser consumido por la capa de aplicación, ya que es la única capa superior en la
pila que el propio sistema operativo. Simultáneamente, el sistema operativo se
comunica con el hardware / firmware para ejecutar procesos y pasar datos hacia y
desde el dispositivo.
Fallas del sistema operativo son un tipo de defecto muy común y en la actualidad
tienden a ser el destino de elección para los atacantes que deseen tener un alto
impacto. Si se descubre un defecto de funcionamiento, toda la base instalada de
que la revisión del sistema operativo en particular probablemente será
vulnerable. Es en esta capa, y por encima, donde el software es el mecanismo de
aplicación imperiosa de garantizar. En concreto debido al hecho de que el
software sea invocada, el sistema operativo, y la capa de aplicación anterior, es el
lugar más común donde se descubren fallas de seguridad.
Mobile Security - Capa de aplicación
El nivel de aplicación reside en la parte superior de la pila de seguridad móvil y es
la capa que el usuario final interactúa directamente con. La capa de aplicación se
identifica mediante procesos que utilizan las interfaces de programación de
aplicaciones proporcionadas por la capa de sistema operativo como un punto de
entrada en el resto de la pila de ejecución.
Fallas de seguridad de capa de aplicación general son el resultado de defectos de
codificación en aplicaciones que se envían ya sea con o instalados en un
dispositivo móvil después de la implementación. Estos defectos provienen de las
clases que son similares a la zona de la informática personal. Desbordamiento de
búfer, el almacenamiento inseguro de datos sensibles, los algoritmos
criptográficos impropias, contraseñas codificadas, y aplicaciones de una puerta
trasera son sólo un conjunto de muestras de las clases de defectos de capa de
aplicación. El resultado de explotación de los fallos de seguridad de capa de
aplicación puede variar de elevación de privilegios del sistema operativo para la
exfiltración de datos sensibles.
Cómo probar la seguridad del código móvil
Al analizar un dispositivo individual para implicaciones de seguridad, se debe tener
en cuenta cada una de las capas de la pila de seguridad de código móvil y
determinar la eficacia de los mecanismos de seguridad que se encuentran en el
lugar. En cada capa de determinar qué, si las hay, mecanismos de seguridad y
mitigaciones el fabricante ha puesto en marcha y si esos mecanismos son
suficientes para el tipo de datos que va a guardar y el acceso en el dispositivo.
Related documents
iPhorensics - Trabajos de Grado de la facultad de Ingeniería de
iPhorensics - Trabajos de Grado de la facultad de Ingeniería de
seguridad en dispositivos móviles android oscar betancur jaramillo
seguridad en dispositivos móviles android oscar betancur jaramillo
sistemas operativos móviles
sistemas operativos móviles
CONFIGURACIÓN DE MODEMS 3G PARA TABLETS XION
CONFIGURACIÓN DE MODEMS 3G PARA TABLETS XION
CONFIGURACIÓN DE MODEMS 3G PARA TABLETS XION
CONFIGURACIÓN DE MODEMS 3G PARA TABLETS XION
antes de comenzar!
antes de comenzar!