La seguridad de los smartphones (I): Android

Martes 27 de Septiembre de 2011 14:09 |

Escrito por Marcos González

¿Hay seguridad en el corazón de Android? En un artículo anterior veíamos cómo los dispositivos para el trabajo en movilidad suponen una de las principales brechas de seguridad corporativa. En vista de las cifras de ventas de teléfonos inteligentes (smartphones) a nivel mundial en el mercado de consumo, está claro que la tendencia a futuro es un reparto entre dos sistemas operativos principalmente: Android de Goole e iOS de Apple. Esta tendencia poco a poco se implantará en la empresa, por lo que es importante ser conscientes de cómo están abordando ambos la seguridad.

En este primer post vamos a examinar la seguridad del sistema operativo Android con un poco de profundidad.

Android es un sistema operativo con separación de privilegios. Cada aplicación se ejecuta a través de un identificador de usuario único de Linux. Linux ayuda a aislar las aplicaciones entre sí.

Y, a través de los mecanismos adicionales de permisos, se aplican restricciones particulares en las operaciones que pueden robar datos del dispositivo. Hablando en términos profanos, la arquitectura central de seguridad de Android garantiza que ninguna aplicación tiene permiso para afectar a otras aplicaciones, el sistema operativo o el usuario (que incluye los datos privados del usuario, tales como contactos y mensajes de correo electrónico). Tampoco pueden acceder a la red o mantener el dispositivo despierto sin consentimiento previo.

Un archivo muy importante, y obligatorio en todas las aplicaciones de Android, es "AndroidManifest.xml". Vamos a echar un vistazo a lo que este archivo de manifiesto hace (desde el punto de vista de seguridad):

Principalmente describe las actividades de la aplicación, sus servicios y receptores de radiodifusión.
Algunas declaraciones en el mismo informan al sistema operativo Android sobre qué componentes tiene la aplicación y cuándo es necesaria su ejecución.
Declara los permisos que necesita la aplicación para acceder a las partes protegidas del sistema.
También declara los permisos que otras aplicaciones deben tener para interactuar con los componentes de la aplicación.

Este archivo XML debe contener etiquetas de tipo <usuario-permiso> para hacer uso de las características protegidas del dispositivo. Al instalar una aplicación, el instalador de paquetes solicita al usuario conceder dichos permisos. Pero, antes o durante la ejecución de la aplicación, nunca se vuelve a consultar al usuario. Es decir, si el permiso fue concedido, la aplicación puede utilizar las características deseadas sin preguntar al usuario.

Por otra parte, otra de las características de todas las aplicaciones de Android es la firma con un certificado. El desarrollador es identificado por esta firma y la clave privada es también proporcionada por él. El propósito de este certificado es distinguir a los autores, y permiten que el sistema otorgue o deniegue permisos a nivel de firma.

Afortunadamente, han habido importantes mejoras de seguridad en el último desarrollo de Android, 2.3 Gingerbread. Por ejemplo se dice que previene los ataques de clickjacking de los ciberdelincuentes. El clickjacking es básicamente un ataque que engaña al usuario a hacer clic en enlaces maliciosos disfrazados de características legítimas de la página. La plataforma de Gingerbread se ha reforzado con un mecanismo de filtrado de taps llamado "FilterTouchesWhenObscured" para la prevención de este tipo de ataques. Esto alertará a los usuarios si sus equipos están ocultando o encubriendo funcionalidad peligrosa.

Como vemos la seguridad ha sido tenida en cuenta, en mayor o menor medida, desde el propio núcleo del sistema, y se continúa mejorando en las consecutivas revisiones del sistema operativo. Obviamente, en este mundo competitivo, estamos obligados a comparar a los rivales. Así, en nuestro próximo post voy a presentar el diseño de seguridad de iOS. Y también señalaré las deficiencias en el sistema operativo Android en comparación.