Tesis
Propuesta de procedimiento para el análisis de seguridad de aplicaciones Android
Autor
Pinto Riveros, Jorge Fernando
Institución
Resumen
Actualmente en el mundo hay más de 5.000 millones de dispositivos móviles, y prácticamente todas las personas con las que compartimos a diario tienen un celular. Estos aparatos han cambiado la forma en la que vivimos, ya que han repercutido en gran parte de las acciones que realizamos a diario.
Para el caso de los dispositivos Android, donde cualquier persona u organización puede crear aplicación y subirla a una plataforma de distribución de aplicaciones. Bancos, supermercados, AFP, redes sociales, estaciones televisivas, generan habitualmente aplicaciones.
Las aplicaciones no siempre son totalmente totalmente seguras. El sitio CVE tiene documentadas mas de 4.000 vulnerabilidades encontradas en dispositivos Android. Por lo tanto, es recomendado siempre realizar pruebas de seguridad a las aplicaciones, sobre todo, a las aplicaciones que manejen datos sensibles de sus usuarios.
El objetivo principal de este trabajo es diseñar una estrategia de análisis de vulnerabilidades para aplicaciones Android y utilizar esta estrategia para analizar una aplicación especifica.
Para lograr lo anterior, el trabajo contempló un estudio del sistema operativo Android y de sus aplicaciones, posteriormente se estudiaron un conjunto de tipos de vulnerabilidades, para finalmente determinar las mejores herramientas para la identificación de vulnerabilidades. En base a lo anterior se diseñó una metodología replicable de técnicas y procedimientos para realizar el análisis a las aplicaciones.
Esta metodología consiste en hacer ingeniería inversa de la aplicación, luego a través del código fuente, hacer una análisis general de la aplicación (por ejemplo. su versión, si utiliza algún framework, entre otras). Posteriormente analizar los componentes más relevantes de la aplicación, estudiar las conexiones de la aplicación en base a los paquetes enviados y recibidos, y finalmente estudiar algunas particularidades descubiertas durante todo el proceso anterior.
Posteriormente se analizó la aplicación de la AFP Modelo. En el análisis de esta aplicación se descubrieron vulnerabilidades interesantes, por ejemplo se descubrió el token de acceso a una base de datos, que un componente WebView se podía utilizar de manera abusiva, que la aplicación no contaba con SSL Pinning, entre otras vulnerabilidades.