Diferencia entre revisiones de «Malware para moviles»

De FdIwiki ELP
Saltar a: navegación, buscar
Línea 4: Línea 4:
 
== Presentación ==
 
== Presentación ==
 
<pdf>http://wikis.fdi.ucm.es/ELP/images/8/8d/Presentacion_Malware_A.Kovalev-3.pdf</pdf>
 
<pdf>http://wikis.fdi.ucm.es/ELP/images/8/8d/Presentacion_Malware_A.Kovalev-3.pdf</pdf>
 +
 +
== Modelos de seguridad actuales ==
 +
Actualmente, los mercados oficiales de distribución de aplicaciones cuentan con distintos mecanismos para intentar garantizar la seguridad de las mismas. Principalmente, utilizan test para comprobar la legitimidad del código de la aplicación. Sin embargo, detectar el malware es demasiado complejo, no se conoce en detalle el funcionamiento interno de estas pruebas y la presencia de un considerable número de aplicaciones maliciosas evidencia que es un método insuficiente. Además se deben tener en cuenta las descargas desde mercados no oficiales que no poseen ningún tipo de filtro de seguridad.
 +
 +
Desde el punto de vista de la plataforma, una manera de tratar de garantizar la seguridad es la de restringir la comunicación entre aplicaciones, y las acciones que estas pueden realizar, incluyendo el acceso a datos y servicios. También se propone la técnica de aislar la ejecución de la aplicación en entornos controlados, llamada sandboxing.
 +
 +
== Tipos de Malware para móviles ==
 +
 +
Malware es cualquier tipo de software o código de programa hostil, intrusivo o diseñado para usar un dispositivo sin el conocimiento del propietario. La evolución y proliferación del malware en dispositivos móviles está íntimamente ligada al aumento de sus capacidades de red y recursos informáticos.
 +
 +
Estudiaremos el malware desde tres perspectivas:
 +
 +
* Comportamiento y objetivos del ataque: en la mayoría de los casos el malware persigue varios objetivos y además su propósito puede variar por medio de una orden remota. El objetivo más común es el de buscar el beneficio económico como en el caso del fraude u overbilling, que consiste en cargar gastos a la cuenta del atacado, que son transferidos a la del atacante. Habitualmente este tipo de ataques, el usuario los relaciona con un conflicto con la compañía proveedora del servicio, y no comprende que pueda ser un malware. La denegación de servicio o sabotaje, en cambio trata de consumir la batería, apagarla o limitar el tiempo de operación del dispositivo. Por último se puede tratar de comprometer la privacidad, por ejemplo, por medio del sniffing, aprovechando los datos que recogen los sensores.
 +
 +
* Método de distribución: es importante conocer los medios por los que se distribuyen los programas maliciosos, para así atajar el contagio. Existen dos grandes aproximaciones, la auto propagación y la ingeniería social. En el primer tipo encontramos por ejemplo los métodos de Application to Device (A2D, Aplicación a dispositivo), SMS to Device (S2D, SMS a dispositivo), USB to Device (U2D, USB a dispositivo), Network to Device (N2D, Red a dispositivo), Device to Device (D2D, Dispositivo a dispositivo), Cloud to Device (C2D, Nube a dispositivo). El segundo tipo agrupa métodos como el de Market to Device (M2D, Mercado a dispositivo) o el de Web-drowser to Device (W2D, Navegador Web a dispositivo). Los estudios demuestran que la ingeniería social es el principal método de distribución de malware.
 +
 +
* Adquisición de privilegios: para el malware, no es suficiente con entrar al dispositivo, también tiene que conseguir una serie de privilegios para poder acceder a las partes críticas del sistema. Habitualmente, estos privilegios son directamente concedidos por los usuarios, al instalar aplicaciones en apariencia legítimas pero que esconden algún comportamiento malicioso. Los usuarios, desconocen la repercusión de transferir determinados permisos a programas desconocidos, y en ocasiones, ni tan siquiera prestan atención a las peticiones para su autorización. Por lo tanto, este método es altamente eficaz. Otro procedimiento más técnico es el de la explotación de las vulnerabilidades o errores en la configuración de la plataforma, la cual se realiza por medio de rootkits.
  
 
== Aislamiento de procesos ==
 
== Aislamiento de procesos ==

Revisión de 02:10 28 feb 2015

Hoy en día existen muchísimos tipos del malware para los móviles- y eso pasa debido a que estos dispositivos casi siempre están conectados al Internet, tienen una potencia computacional bastante grande (y eso permite usarlos como los nodos en botnets) y contienen muchos datos sensibles: e-mails, datos de redes sociales y de ubicación actual, datos del "banco online", etc.

Presentación

Modelos de seguridad actuales

Actualmente, los mercados oficiales de distribución de aplicaciones cuentan con distintos mecanismos para intentar garantizar la seguridad de las mismas. Principalmente, utilizan test para comprobar la legitimidad del código de la aplicación. Sin embargo, detectar el malware es demasiado complejo, no se conoce en detalle el funcionamiento interno de estas pruebas y la presencia de un considerable número de aplicaciones maliciosas evidencia que es un método insuficiente. Además se deben tener en cuenta las descargas desde mercados no oficiales que no poseen ningún tipo de filtro de seguridad.

Desde el punto de vista de la plataforma, una manera de tratar de garantizar la seguridad es la de restringir la comunicación entre aplicaciones, y las acciones que estas pueden realizar, incluyendo el acceso a datos y servicios. También se propone la técnica de aislar la ejecución de la aplicación en entornos controlados, llamada sandboxing.

Tipos de Malware para móviles

Malware es cualquier tipo de software o código de programa hostil, intrusivo o diseñado para usar un dispositivo sin el conocimiento del propietario. La evolución y proliferación del malware en dispositivos móviles está íntimamente ligada al aumento de sus capacidades de red y recursos informáticos.

Estudiaremos el malware desde tres perspectivas:

  • Comportamiento y objetivos del ataque: en la mayoría de los casos el malware persigue varios objetivos y además su propósito puede variar por medio de una orden remota. El objetivo más común es el de buscar el beneficio económico como en el caso del fraude u overbilling, que consiste en cargar gastos a la cuenta del atacado, que son transferidos a la del atacante. Habitualmente este tipo de ataques, el usuario los relaciona con un conflicto con la compañía proveedora del servicio, y no comprende que pueda ser un malware. La denegación de servicio o sabotaje, en cambio trata de consumir la batería, apagarla o limitar el tiempo de operación del dispositivo. Por último se puede tratar de comprometer la privacidad, por ejemplo, por medio del sniffing, aprovechando los datos que recogen los sensores.
  • Método de distribución: es importante conocer los medios por los que se distribuyen los programas maliciosos, para así atajar el contagio. Existen dos grandes aproximaciones, la auto propagación y la ingeniería social. En el primer tipo encontramos por ejemplo los métodos de Application to Device (A2D, Aplicación a dispositivo), SMS to Device (S2D, SMS a dispositivo), USB to Device (U2D, USB a dispositivo), Network to Device (N2D, Red a dispositivo), Device to Device (D2D, Dispositivo a dispositivo), Cloud to Device (C2D, Nube a dispositivo). El segundo tipo agrupa métodos como el de Market to Device (M2D, Mercado a dispositivo) o el de Web-drowser to Device (W2D, Navegador Web a dispositivo). Los estudios demuestran que la ingeniería social es el principal método de distribución de malware.
  • Adquisición de privilegios: para el malware, no es suficiente con entrar al dispositivo, también tiene que conseguir una serie de privilegios para poder acceder a las partes críticas del sistema. Habitualmente, estos privilegios son directamente concedidos por los usuarios, al instalar aplicaciones en apariencia legítimas pero que esconden algún comportamiento malicioso. Los usuarios, desconocen la repercusión de transferir determinados permisos a programas desconocidos, y en ocasiones, ni tan siquiera prestan atención a las peticiones para su autorización. Por lo tanto, este método es altamente eficaz. Otro procedimiento más técnico es el de la explotación de las vulnerabilidades o errores en la configuración de la plataforma, la cual se realiza por medio de rootkits.

Aislamiento de procesos

En iOS el nucleo utiliza el identificador MAC para decidir, si cada aplicación tiene acceso a los determinados ficheros y/o espacios en memoria del dispositivo. En los dispositivos que funcionan con Android se crea un distinto para cada aplicación y el sistema se preocupa automáticamente de la separación de privilegios. Pero cualquier antivirus también es un programa- así que no tiene acceso a los espacios de memoria reservados para otros programas. En esta situación, si el virus llega como una actualización del programa ya instalado, el antivirus no podrá verlo!

Скриншот 2015-02-02 19.43.39.png

En ambos casos, las aplicaciones instaladas no pueden comunicarse entre sí

Autorización

iOS utiliza "perfiles de privacidad"- conjuntos de reglas, que determinan el control de acceso de una aplicación a otra. Por ejemplo, si quieres introducir el teléfono de una persona, cuyos datos ya están guardados en la aplicación "Contactos", Safari te va a pedir acceso a los datos de Contactos- por definición, cualquier acceso de una aplicación a otra está prohibido.

En Android, a la hora de instalarse cada aplicación muestra una lista de permisos que quiere obtener. No se puede elegir o permitir solo algunos de los permisos pedidos: o los permites todos, o no se instala la aplicación.

Para romper dichas reglas en iOS, hay que escribir un exploit, modificar el SO para permitir "otras" aplicaciones, instalar "Cydia" para descargar aplicaciones extra... Todo esto suele ser bastante difícil para la mayoría de usuarios. Sin embargo, el Android solo te pide marcar la casilla "permitir la instalación desde fuentes desconocidas"- y tu dispositivo ya está "abierto" totalmente

Distribución de sistemas operativos

  • Android 84,62%
  • iOS 11,69%
  • Windows Phone 2,5%
  • BlackBerry 0,5%
  • Otros 0,7%

Enlaces externos

El mapa de caber-amenazas online [1]

Las estadísticas del malware en el año 2014 (los datos del Laboratorio Kaspersky) [2]