El 9 de marzo, Google presentó el prelanzamiento de Android P, que casi seguramente cambiará pronto su nombre a Android XNUMX. La nueva versión ha cambiado una vez más la interfaz, nuevas funciones del panel de notificaciones, soporte HDR, cámaras duales, pero nuestra atención , como siempre, atrae algo mucho más interesante: seguridad y nuevos mecanismos de restricción.
Evite el uso de la cámara y el micrófono en segundo plano
Una de las innovaciones de seguridad de Android más notables se conoció incluso antes del lanzamiento de la vista previa de Android P, y también escribimos sobre ella. Esto, por supuesto, prohíbe el uso de la cámara, el micrófono y cualquier sensor por parte de aplicaciones que se encuentran en estado inactivo, es decir, minimizadas y ejecutándose en segundo plano. Por lo tanto, todo tipo de malware al que le gusta filmar y escuchar lo que sucede ahora debería desaparecer.
Pero hay una advertencia: ¿qué pasa con el software diseñado para buscar un teléfono inteligente? Hay muchas aplicaciones que le permiten filmar y escuchar de forma remota lo que sucede para encontrar rápidamente su teléfono inteligente robado.
Para hacer esto, Google sugiere una vez más utilizar el llamado servicio de primer plano. Este es un tipo especial de servicio en segundo plano que tiene una notificación en la barra de notificaciones y, por lo tanto, es visible para el usuario. Nadie impide que el mismo usuario oculte esta notificación por medios estándar.
Prohibición de HTTP de texto claro
La segunda gran innovación de Android P es la prohibición total de usar HTTP sin TLS (es decir, sin encriptación) para todas las aplicaciones creadas para la nueva versión de Android. En otras palabras, si targetSdkVersion es mayor que 27 en el build.prop de la aplicación, entonces la aplicación no podrá conectarse a los hosts a través de HTTP.
Sin embargo, esta limitación se puede omitir especificando una lista de dominios permitidos en el archivo de configuración de seguridad de la red ( network_security_config.xml ):
Cifrado de copia de seguridad
Si bien esta función aún no se ha activado, las versiones futuras de Android P le permitirán especificar un código de acceso, sin el cual no podrá restaurar la configuración de la aplicación respaldada que se envía automáticamente a Google Drive. Esto también significa que ni siquiera Google tendrá acceso a sus datos. Apple, por cierto, siempre ha tenido acceso a las copias de seguridad y se las entregó a las autoridades al primer requerimiento.
Diálogos de confirmación protegidos por MITM
Otra innovación interesante en Android P es un cuadro de diálogo de confirmación “seguro” (ConfirmationDialog) disponible para desarrolladores externos. Le permite asegurarse de que el usuario realmente vio el texto del diálogo y estuvo de acuerdo con él, incluso si el teléfono inteligente del usuario fue pirateado y el malware obtuvo el control del núcleo y el marco.
Si el usuario responde positivamente al mensaje de conversación, la aplicación recibe una firma criptográfica protegida por un código de autenticación de mensajes con clave hash (HMAC). La firma la genera el Trusted Execution Environment (TEE) que protege el cuadro de diálogo y la respuesta del usuario. La firma significa que el usuario realmente vio el mensaje y estuvo de acuerdo con él.
Prohibición del uso de APIs ocultas
Android tiene varias API ocultas que no están disponibles para las aplicaciones normales. Ya hemos hablado de ellos y demostrado cómo acceder a estas API mediante la reflexión. Otros desarrolladores de aplicaciones hacen lo mismo, y esto genera vulnerabilidades e inestabilidades en el funcionamiento de las aplicaciones (las API ocultas pueden cambiar y desaparecer de una versión a otra).
Android P no permite el acceso a API ocultas. Además, la nueva versión de Android muestra una notificación si la aplicación utiliza API obsoletas. Esto debería obligar a los desarrolladores a cambiar al uso de nuevas API.
Módulo criptográfico StrongBox
Algunos dispositivos equipados con Android P pueden tener un módulo criptográfico StrongBox incorporado que funciona en cooperación con el módulo TEE (Trusted Execution Environment, como TrustZone en los procesadores Qualcomm). De hecho, este módulo está implementado en el hardware Keymaster HAL (Hardware Abstraction Layer), que en las versiones actuales del sistema operativo es una biblioteca implementada por el fabricante del dispositivo o chipset.
Cómo funciona con Keymaster
Otros artículos en el número:
Xakep #228. Cómo se roban las ICO
Implementación de la API de OMAPI
Android P es compatible con GlobalPlatform Open Mobile API (OMAPI API) para acceder a Secure Elements (SE), microchips especiales que se encuentran comúnmente en tarjetas SIM, tarjetas bancarias, tarjetas de tarifas y teléfonos inteligentes sin contacto.
Secure Element es un microprocesador separado con su propia memoria. Es responsable del almacenamiento seguro y la ejecución de las aplicaciones de pago. En los teléfonos inteligentes habilitados para NFC, el SecureElement generalmente está soldado a la placa base, pero también puede ubicarse en la tarjeta SIM o incluso en la tarjeta de memoria.
Una línea
- A partir de Android P, las aplicaciones ya no podrán leer el número de serie de un dispositivo a través de la variable Build.SERIAL. Siempre será igual a DESCONOCIDO. Ahora se requiere el permiso READ_PHONE_STATE para obtener el número de serie.
- Ha aparecido soporte nativo para el cifrado de flujo de alto rendimiento ChaCha20, que también se usa en el navegador Chrome cuando se conecta a sitios de Google, en el kernel de Linux para generar números aleatorios y en algunos sistemas de transmisión.
- Las reglas de SELinux ahora evitan que las aplicaciones compartan datos con otras aplicaciones al configurar los permisos de archivo como públicos.
- En versiones futuras de Android P, se planea incluir soporte para la aleatorización de direcciones MAC al escanear redes Wi-Fi. Esto le permitirá lidiar con el seguimiento de usuarios (en iOS, esta función se ha incorporado desde la versión 8).
evgeny zobnin
Editor de columnas de X-Mobile. Administrador de sistemas a tiempo parcial. Gran fanático de Linux, Plan 9, gadgets y videojuegos antiguos.
Su teléfono inteligente guarda muchos secretos. Ayudaremos a protegerlos.
Hackear un teléfono inteligente se siente como si alguien robara su casa, o tal vez incluso peor. Esta es una verdadera invasión de la privacidad, una violación del espacio personal, y puede llevar algún tiempo averiguar qué sucedió. Su dispositivo no solo almacena archivos y datos, sino que les dice a los atacantes qué información es más importante.
Los teléfonos inteligentes son dispositivos pequeños que pueden perderse o ser robados fácilmente y envían y reciben señales en línea constantemente, lo que los convierte en un objetivo para los estafadores. Para mantener su teléfono y su contenido a salvo de miradas indiscretas, debe desarrollar una estrategia para proteger su valiosa información. Hemos reunido algunos consejos sobre cómo proteger su teléfono inteligente de piratas informáticos e intrusos.
Actualice su sistema operativo y aplicaciones
Las empresas de desarrollo de software actualizan constantemente el software, y no solo por razones estéticas. Muchas actualizaciones y correcciones de errores contienen mejoras de seguridad que ayudan a proteger su teléfono inteligente de la piratería y la intrusión, así como a reducir las vulnerabilidades, lo que dificulta la vida de los piratas informáticos. Por lo tanto, vale la pena recordar: tan pronto como aparezca una notificación sobre la actualización del sistema operativo de su teléfono móvil o cualquier aplicación que use, instálela inmediatamente.
Evite las redes Wi-Fi públicas
A estas alturas, todos deberían ser conscientes de los peligros de usar Wi-Fi abierto para cualquier propósito, porque una red inalámbrica pública gratuita en centros comerciales, cafés, aeropuertos o cualquier otro lugar público es como la miel para los piratas informáticos. Trate de usar solo el celular cuando sea posible y apague el Wi-Fi en su teléfono móvil cuando esté en un lugar público. Si esto no es posible, considere usar una aplicación VPN, que es una utilidad que le permite proporcionar una o más conexiones de red (una red lógica) a través de otra red. Pero elija con cuidado: no todas las VPN tienen la misma calidad. También debe considerar apagar Bluetooth cuando no esté usando su teléfono, a menos que el teléfono esté conectado a un reloj inteligente que requiera este tipo de conexión.
Encienda el bloqueo de su teléfono inteligente
Introduzca siempre una contraseña de cuatro o seis dígitos para iniciar sesión en el dispositivo. Esto puede no ser muy conveniente, pero es mucho más tranquilo: si su teléfono inteligente se cae repentinamente de su bolsillo en la calle, la primera persona que lo recoja no podrá consultar el correo electrónico, los contactos, las fotos y la información de la tarjeta bancaria. Intente configurar una contraseña aún más larga con números y letras. ¿No te gustan las contraseñas? Sin preocupaciones. El escáner de huellas digitales y Face ID es una alternativa simple y rápida a los códigos de acceso. Además, asegúrese de que las aplicaciones con información personal también estén bloqueadas con contraseñas.
Mantenga su número de teléfono privado
Probablemente no quieras dar tu número de teléfono fijo a nadie que conozcas. Del mismo modo, no des automáticamente tu número de teléfono móvil a ninguna aplicación que pueda solicitarte datos. Cuantas más aplicaciones recuerden su número, más vulnerable será el dispositivo a las estafas por SMS e incluso a las intrusiones en cuentas 2FA seguras. Intenta agregar una segunda línea a tu gadget. Google Voice es una excelente manera de proteger su número de teléfono de los intrusos en línea, al igual que aplicaciones como Sideline, Line2 y Hush que facilitan la inclusión de una segunda línea en su teléfono móvil.
No difundas demasiada información en las redes sociales.
Aunque puede usar su nombre real de manera segura en redes sociales como Facebook y Twitter, no debe compartir información personal sobre usted. Evite enumerar su ciudad natal, direcciones específicas, trabajos específicos, números de teléfono, apellidos y otros datos que los piratas informáticos pueden usar para rastrearlo. En estos días, Facebook le permite ocultar una gran cantidad de información a través de configuraciones y herramientas de privacidad, incluidas la mayoría de las fotos, listas de amigos y más. Por lo tanto, optimice su perfil para deshacerse de la información que puede revelar más sobre usted de lo que le gustaría. Además, use Facebook en la computadora de su casa si es posible.
Subir datos
No almacene información personal, documentos o archivos importantes en su teléfono y limite la cantidad de fotos geolocalizadas en la aplicación de la cámara. Adquiera el hábito de dejar su teléfono inteligente relativamente “intacto” cargando imágenes y documentos en su computadora y eliminando correos electrónicos confidenciales.
Usar autenticación de dos factores
Otra medida de seguridad que la mayoría de la gente no puede tolerar. La autenticación de dos factores (2FA) es tan desagradable porque requiere una confirmación adicional, y es realmente deprimente cuando no hay un teléfono a mano. Pero al igual que las contraseñas, tiene un propósito al proporcionar una capa adicional de protección en caso de que alguien obtenga su contraseña.
Usa contraseñas complejas
A nadie le gustan las contraseñas. Pero cuando llega el momento de pensar en ello, debe tomarlo en serio. Use solo contraseñas seguras que sean difíciles de descifrar. Deben tener entre 16 y 20 caracteres, con una combinación de letras y números en mayúsculas y normales, así como símbolos. Los piratas informáticos de primer nivel aún pueden descifrar contraseñas seguras, pero facilitarles el uso de un cumpleaños, el nombre de una mascota o la misma contraseña para todo es una idea realmente terrible.
Hay muchos generadores de contraseñas seguras en la web, así que no tienes que inventarte uno. Cambie sus contraseñas cada seis meses durante un año, o tan pronto como se entere de una violación de datos en cualquier programa que utilice. Ah, y algunas palabras sobre “preguntas secretas”: mentiras. No responda las preguntas de seguridad con honestidad y cambie sus respuestas para diferentes sitios/aplicaciones. Puede usar una respuesta de contraseña para tales preguntas, que consiste en letras y números, por ejemplo, en lugar del nombre de su primera mascota. Esto hace que sea más difícil para los piratas informáticos descubrir cómo ingresar a un teléfono en función de la información disponible públicamente sobre el usuario en Internet.
Cuidado con el spam y el phishing
Una de las formas más fáciles de entrar en su teléfono y acceder a su información es a través del correo electrónico. El phishing está diseñado de tal manera que los propios usuarios transfieren el acceso a sus cuentas. Evite hacer clic en enlaces en correos electrónicos promocionales, abrir archivos adjuntos sospechosos o activar actualizaciones de aplicaciones por correo electrónico. No intente acceder a cuentas financieras a través de correos electrónicos aleatorios, en su lugar, vaya directamente al sitio web de la institución financiera e inicie sesión con el nombre de usuario y la contraseña correctos.
Utilice la seguridad integrada del dispositivo
No en vano se les llama “smartphones” (es decir, teléfono inteligente). Si pierde o le roban el dispositivo, puede encontrarlo utilizando servicios de rastreo como Find My iPhone y Android Find My Device, que pueden rastrear el teléfono perdido en un mapa y, en algunos casos, borrar automáticamente todos los datos del mismo. Estos servicios también le permiten hacer que su teléfono suene, lo que le ayuda a encontrar su dispositivo. Además, es posible configurar el gadget para eliminar toda la información después de un intento de contraseña incorrecto.
Usar una aplicación antivirus
Los piratas informáticos prefieren el malware para robar contraseñas e información de cuentas. Pero puede combatir esto con una aplicación antivirus para teléfonos inteligentes, algunas de las cuales son ramificaciones de programas populares para PC como Avast, McAfee y Panda. Ofrecen seguridad mejorada al garantizar que las aplicaciones descargadas, los archivos PDF, las imágenes y otros archivos no se infecten con malware antes de que se abran.
Administrar permisos de aplicaciones
Verifique las aplicaciones en su teléfono para ver si tienen más privilegios de los que necesitan. Puede habilitar/deshabilitar el acceso a la cámara, micrófono, contactos o ubicación. Lleve un registro de las aplicaciones que están permitidas y apague las que no necesita. En el caso de un iPhone, ve a Configuración > Privacidad, donde verás una lista de todas las aplicaciones y los permisos que se les otorgan. En cuanto a Android, todo depende del dispositivo. Por ejemplo, en un Google Pixel, lo encontrará en Configuración > Aplicaciones y notificaciones > Más > Permisos de aplicaciones, mientras que en un Samsung Galaxy, lo encontrará en Configuración > Aplicaciones > Permisos de aplicaciones (tres puntos verticales en la parte superior). esquina derecha).
Copia de seguridad de datos
Esté siempre preparado para lo peor y haga una copia de seguridad de su dispositivo para proteger documentos e imágenes importantes en caso de pérdida o robo de su teléfono. Por lo tanto, aunque pierda el teléfono inteligente, aún puede acceder a sus fotos o archivos valiosos. Si su iPhone está respaldado, puede programarlo para que se borre automáticamente después de 10 intentos fallidos consecutivos de contraseña.
Mira desde dónde instalas las aplicaciones
No descargue aplicaciones antiguas en su teléfono. Si bien la selección de aplicaciones para iPhone se limita a Apple App Store, que revisa todas las aplicaciones vendidas en la plataforma, el software de Android es fácil de descargar desde Internet, lo que significa que es fácil de instalar desde una fuente que no sea Google Play Store. Sin embargo, debe profundizar en la configuración y habilitar esta opción. La mejor manera de evitar el malware en Android es apegarse a los programas disponibles en Google Play Store que son revisados por Google. Nunca descargue aplicaciones a través de mensajes de texto, ya que este es un método notorio que usan los piratas informáticos para inyectar malware directamente en el teléfono.
Manténgase alejado de los cargadores públicos
Cargue su teléfono solo desde puertos USB confiables, como su computadora y automóvil. Los atacantes pueden piratear puertos de carga USB públicos, como los que se encuentran en cafeterías o aeropuertos, para robar información personal. Lleve consigo el adaptador junto con el cable USB si viaja. Los piratas informáticos no pueden acceder a los datos de su teléfono a través del adaptador USB.
No hagas jailbreak
Si bien un jailbreak permite a los propietarios de iPhone acceder a aplicaciones y software que no están disponibles en la App Store de Apple, también expone el teléfono a virus y malware. Si el dispositivo termina siendo pirateado, anulará la garantía y el centro de servicio de Apple probablemente no lo ayudará.
Si toma medidas positivas para proteger su teléfono inteligente de los piratas informáticos, puede estar seguro de que ha hecho todo lo posible para proteger la información importante. Esto reduce en gran medida las posibilidades de que los atacantes puedan robar datos, entrar en la privacidad, robar dinero, controlar su teléfono y más.
