Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Seguridad en Dispositivos Móviles: Análisis de las Amenazas y Countermeasures - Prof. Esco, Apuntes de Derecho

Este documento forma parte de la serie ccn-stic-450 y se enfoca en el análisis de la seguridad de dispositivos móviles, incluyendo vulnerabilidades, riesgos y nuevos vectores de ataque. Se abordan temas como la obtención de información, la suplantación de dispositivos, el acceso remoto y la confidencialidad de comunicaciones. Se mencionan casos reales de ataques y malware, como ambler y cardtrap.

Tipo: Apuntes

2012/2013

Subido el 17/11/2013

mariajoseolga
mariajoseolga 🇪🇸

5

(1)

3 documentos

1 / 48

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
SIN CLASIFICAR
SIN CLASIFICAR
_
GUÍA DE SEGURIDAD DE LAS TIC
(CCN-STIC-450)
Seguridad en dispositivos móviles
MARZO 2013
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30

Vista previa parcial del texto

¡Descarga Seguridad en Dispositivos Móviles: Análisis de las Amenazas y Countermeasures - Prof. Esco y más Apuntes en PDF de Derecho solo en Docsity!

_

GUÍA DE SEGURIDAD DE LAS TIC

(CCN-STIC-450)

Seguridad en dispositivos móviles

MARZO 2013

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional i

Edita:

 Centro Criptológico Nacional, 2013 NIPO 002-13-026-

Fecha de Edición: mayo de 2013 Raúl Siles, fundador y analista de seguridad de Taddong S.L., ha participado en la elaboración y modificación del presente documento y sus anexos.

LIMITACIÓN DE RESPONSABILIDAD

El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.

AVISO LEGAL

Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler o préstamo públicos.

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional iii

  • 1 INTRODUCCIÓN ................................................................................................................................ ÍNDICE
  • 2 OBJETO................................................................................................................................................
  • 3 ALCANCE ............................................................................................................................................
  • 4 DISPOSITIVOS MÓVILES: CAPACIDADES Y FUNCIONALIDAD .............................................
  • 5 AMENAZAS Y VULNERABILIDADES DE SEGURIDAD EN DISPOSITIVOS MÓVILES ........
    • 5.1 ACCESO FÍSICO AL DISPOSITIVO MÓVIL ................................................................................
    • 5.2 SISTEMA OPERATIVO DEL DISPOSITIVO MÓVIL ..................................................................
    • 5.3 ALMACENAMIENTO DE INFORMACIÓN ...............................................................................
    • 5.4 LOCALIZACIÓN ...........................................................................................................................
    • 5.5 COMUNICACIONES .....................................................................................................................
      • 5.5.1 BLUETOOTH ..........................................................................................................................
      • 5.5.2 WIFI .........................................................................................................................................
      • 5.5.3 GSM (2G): SMS ......................................................................................................................
      • 5.5.4 GSM (2G): COMUNICACIONES DE VOZ ...........................................................................
      • 5.5.5 GSM (2G): COMUNICACIONES DE DATOS ......................................................................
      • 5.5.6 UMTS (3G): COMUNICACIONES DE VOZ Y DATOS ......................................................
      • 5.5.7 NFC (NEAR FIELD COMMUNICATION) ...........................................................................
    • 5.6 SOFTWARE Y APLICACIONES CLIENTE ................................................................................
    • 5.7 MALWARE EN DISPOSITIVOS MÓVILES................................................................................
    • 5.8 MALWARE Y JAILBREAK EN DISPOSITIVOS MÓVILES ......................................................
    • 5.9 VULNERABILIDADES Y AMENAZAS MULTIPLATAFORMA .............................................
  • 6 RECOMENDACIONES DE SEGURIDAD EN DISPOSITIVOS MÓVILES ..................................
    • 6.1 ACCESO FÍSICO AL DISPOSITIVO MÓVIL ..............................................................................
    • 6.2 SISTEMA OPERATIVO DEL DISPOSITIVO MÓVIL ................................................................
    • 6.3 CONFIGURACIÓN Y PERSONALIZACIÓN DEL DISPOSITIVO MÓVIL ..............................
    • 6.4 ALMACENAMIENTO DE INFORMACIÓN ...............................................................................
    • 6.5 LOCALIZACIÓN ...........................................................................................................................
    • 6.6 COMUNICACIONES BLUETOOTH ............................................................................................
    • 6.7 COMUNICACIONES WIFI ...........................................................................................................
    • 6.8 COMUNICACIONES DE TELEFONÍA MÓVIL..........................................................................
    • 6.9 SOFTWARE Y APLICACIONES CLIENTE ................................................................................
    • 6.10 DETECCIÓN DE MALWARE EN DISPOSITIVOS MÓVILES..................................................
    • 6.11 PROPAGACIÓN DE MALWARE HACIA OTROS DISPOSITIVOS .........................................
    • 6.12 TRAZABILIDAD ...........................................................................................................................
    • 6.13 SOFTWARE DE GESTIÓN Y SEGURIDAD ...............................................................................
  • 7 REFERENCIAS ..................................................................................................................................

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional 4

1 INTRODUCCIÓN

  1. El desarrollo de los dispositivos móviles y de las tecnologías inalámbricas en los últimos años ha revolucionado la forma de trabajar y comunicarse. El uso creciente de estas tecnologías sitúa a los dispositivos móviles como uno de los objetivos principales de las ciberamenazas.
  2. La proliferación de dispositivos móviles en los últimos años, junto al aumento de las capacidades, prestaciones y posibilidades de utilización de los mismos, hace necesario evaluar en profundidad la seguridad ofrecida por este tipo de dispositivos, así como de los mecanismos de protección de la información que gestionan, dentro de los entornos de Tecnologías de la Información y las Comunicaciones (TIC).
  3. El término seguridad es empleado en la presente guía considerando las cinco dimensiones de la seguridad de la información, confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad, tal y como se define en el Esquema Nacional de Seguridad (ENS) [Ref.- 1].
  4. Se considera dispositivo móvil aquél dispositivo de uso personal o profesional de reducido tamaño que permite la gestión de información y el acceso a redes de comunicaciones, tanto de voz como de datos, y que habitualmente dispone de capacidades de telefonía, como por ejemplo teléfonos móviles, smartphones (teléfonos móviles avanzados o inteligentes) y agendas electrónicas (PDA), independientemente de sí disponen de teclado o pantalla táctil.
  5. Un estudio de la Asociación Europea de Publicidad Interactiva, (EIAA) denominado Mediascope Europe, publicado el 23 de febrero de 2010 en su séptima edición [Ref.- 2], confirma que los españoles dedican casi 5,5 horas semanales de media a conectarse a Internet a través de dispositivos móviles; en el caso de Europa, la media es de 6,4 horas.
  6. Otros datos derivados del estudio confirman que “Respecto al uso que los usuarios dan a Internet en sus dispositivos móviles, comentaron que el 74 por ciento se conecta a redes sociales, el 82 por ciento realiza algún tipo de búsqueda y el 85 por ciento hace uso de su email al menos una vez al mes.” [Ref.- 3].
  7. Pese a que los dispositivos móviles se utilizan para comunicaciones personales, privadas y relevantes, y almacenan información sensible, el nivel de percepción de la amenaza de seguridad real existente no ha tenido trascendencia en los usuarios finales y las organizaciones.
  8. El presente documento realiza un análisis detallado de las últimas y principales amenazas y vulnerabilidades de seguridad en dispositivos móviles durante los últimos años (2008- 2010), complementando las amenazas, vulnerabilidades y malware descubiertos en las plataformas móviles desde el año 2000 [Ref.- 59], como por ejemplo, Caribe (o Cabir), Skulls, CommWarrior, Doomboot o Cardtrap.
  9. El análisis se centra únicamente en las amenazas específicas asociadas a las tecnologías empleadas por los dispositivos móviles o a los propios dispositivos, sin profundizar en detalle en las amenazas genéricas existentes en dichas tecnologías o que afectan igualmente a otros tipos de equipamiento informático.

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional 6

  • Comunicaciones (de voz y datos): infrarrojos (IrDa), Bluetooth (802.15), WiFi (Wireless Fidelity, 802.11), GSM (2G), GPRS (2.5G), EDGE, UMTS (3G), HSDPA, etc.
  • Localización: GPS.
  • Acelerómetro, para detectar la dirección, velocidad e intensidad de los movimientos del dispositivo.
  • Multimedia: micrófono, altavoz, conexiones de auriculares, cámara (fotos y/o vídeo).
  • Interfaces de usuario avanzados, mediante pantallas táctiles o teclados completos de tamaño reducido.
  1. Cabe destacar que los dispositivos móviles actuales disponen de conexión a redes de datos (privadas o Internet), con capacidades de comunicación de datos permanentes las 24 horas a través de las redes de telefonía 3G.
  2. A nivel software, es necesario tener en cuenta tanto el sistema operativo que gobierna el dispositivo, como el software y aplicaciones disponibles para dicho sistema operativo. Los sistemas operativos más comúnmente empleados en la actualidad en dispositivos móviles (incluyendo el fabricante) son:
  • Microsoft - Windows Mobile: versiones 6.1 y 6.
  • Microsoft – Windows Phone 7 (finales de 2010)
  • Nokia - Symbian: versiones 7 - 9.
  • RIM (Research In Motion) - BlackBerry: versiones 3.x - 5.x
  • Google - Android: versiones 1.6 y 2.
  • Apple - iPhone e iPod Touch: versiones 2.x y 3.x
  • Palm – WebOS (Linux): versiones 1.0.x-1.
  1. En los próximos años nuevos dispositivos se englobarán bajo la categoría de dispositivos móviles, tales como tablet PCs o el iPad de Apple, viéndose afectados por amenazas similares a las descritas y sobre los que aplicarán las recomendaciones de seguridad de la presente guía.
  2. Los dispositivos móviles más avanzados existentes en la actualidad disponen de múltiples capacidades en función del software y aplicaciones disponibles, como por ejemplo acceso a los servicios de telefonía (mensajes de texto y multimedia, voz y datos), acceso completo a redes de datos (redes privadas o Internet), incluyendo la gestión del correo electrónico, acceso a redes sociales, navegación web, mensajería instantánea, servicios de localización (mediante el GPS y las redes de datos), servicios de pago electrónico, acceso y edición de documentos, realización de presentaciones, etc.
  3. En base a las capacidades hardware y software de los dispositivos móviles, los elementos relevantes a tener en cuenta en toda política de seguridad, que permitan definir las reglas, principios y prácticas de utilización, son:
  • Los dispositivos móviles deben integrarse dentro de la política de seguridad de la organización, ya que por defecto no son seguros, y no deben considerarse

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional 7

únicamente teléfonos, al disponer de capacidades avanzadas similares a las de otros equipos informáticos más avanzados o de mayor tamaño.

  • Definición de qué tipo de dispositivos móviles están permitidos en la organización (preferentemente en función de sus capacidades de protección y mecanismos de seguridad), indicando tipo de dispositivo, fabricante y modelo.
  • Definición del tipo de información que los dispositivos móviles pueden almacenar, gestionar y transferir, según la clasificación de la información en la organización (pública, privada, secreto, etc.).
  • Definición del tipo de redes de datos y tipo de comunicaciones a las que los dispositivos móviles pueden tener acceso: Internet, comunicaciones de voz, SMS, redes públicas o privadas, etc. Debe especificarse si se permiten conexiones simultáneas cuando el dispositivo está conectado a una red corporativa o privada.
  • Definición de los dispositivos móviles permitidos en función de su propietario: dispositivo personal, dispositivo perteneciente a la organización, o ambos.
  • Definición de la política de uso aceptable para ambos tipos de dispositivos, personales y corporativos.
  • Listado específico del software y las aplicaciones permitidas (y/o prohibidas) en los dispositivos móviles. En su defecto, listado del tipo de aplicaciones permitidas: internas, comerciales, gratuitas y/o de código libre.
  • Listado de software de seguridad requerido en los dispositivos móviles.

5 AMENAZAS Y VULNERABILIDADES DE SEGURIDAD

EN DISPOSITIVOS MÓVILES

  1. Existen numerosas amenazas y vulnerabilidades asociadas a los dispositivos móviles que ponen en riesgo la seguridad tanto del propio dispositivo como de la información que gestiona. Algunas de ellas son comunes a otros equipos, como ordenadores portátiles o de sobremesa, estaciones de trabajo, y servidores, mientras que otras son propias de este tipo de dispositivos.
  2. Los informes de ciberamenazas y tendencias publicados por el CCN-CERT en los años 2009 y 2010 describen las vulnerabilidades que han facilitado la expansión de código malicioso ( malware ) en dispositivos móviles, así como los ataques que tienen como objetivo principal este tipo de dispositivos [Ref.- 4] [Ref.- 5] [Ref.- 18].
  3. La importancia de la seguridad de los dispositivos móviles en la industria se refleja también en conferencias de seguridad como CanSecWest , dónde en 2009, añadieron estos dispositivos al concurso Pwn2Own , que insta a los participantes a descubrir nuevas vulnerabilidades en los terminales más comunes en el mercado (BlackBerry, Android, iPhone, Symbian y Windows Mobile), a cambio de suculentos premios y fama [Ref.- 16]. Este concurso ha sido celebrado de nuevo en el año 2010 [Ref.- 17].
  4. La aparición de nuevas plataformas tecnológicas móviles, nuevas aplicaciones y nuevos servicios, así como su conexión a través de redes de comunicaciones públicas y privadas, abren la puerta a novedosas investigaciones de seguridad centradas en el descubrimiento de vulnerabilidades en estos nuevos entornos.

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional 9

  1. En algunos dispositivos, como el iPhone, el disponer de acceso físico permite eliminar el código de acceso (o PIN) mediante el uso de un cable USB y el software adecuado, sin aplicarse ningún mecanismo de autentificación durante el proceso [Ref.- 48]. Esta técnica es empleada habitualmente en el análisis forense de estos dispositivos, o puede deberse a nuevas vulnerabilidades descubiertas en los dispositivos, como el iPhone [Ref.- 78].
  2. Otras soluciones de análisis forense permiten el mismo tipo de acceso a la información del terminal sin autentificación, mediante cables JTAG o mediante soluciones como Paraben’s CSI ( Cell Seizure Investigator ) Stick para terminales Motorola, Samsung y LG.

5.2 SISTEMA OPERATIVO DEL DISPOSITIVO MÓVIL

  1. Los fabricantes del sistema operativo que gobierna los dispositivos móviles, como Windows Mobile, iPhone o Android, publican periódicamente vulnerabilidades de seguridad asociadas a los componentes y librerías básicas del sistema.
  2. Si el dispositivo móvil no es actualizado de forma frecuente con las últimas actualizaciones de seguridad, el dispositivo estará expuesto a vulnerabilidades públicamente conocidas, tanto locales como remotas.
  3. Este tipo de vulnerabilidades han sido empleadas en el pasado por atacantes y malware para disponer de acceso completo al dispositivo mediante la ejecución de código, la realización de ataques de denegación de servicio, o el robo de información.
  4. Por ejemplo, algunas de las vulnerabilidades más conocidas han afectado al navegador web Pocket IE o el sistema MMS ( Multimedia Messaging Service ) en Windows Mobile, el navegador web Safari y la libraría de imágenes TIFF o la librería Webkit del iPhone (ver apartado ”5.8. Malware y jailbreak en dispositivos móviles”) [Ref.- 59].
  5. La siguiente lista proporciona algunos enlaces a las alertas y actualizaciones de seguridad de los principales fabricantes de los sistemas operativos disponibles en los dispositivos móviles:
    • Microsoft Windows Mobile security updates: http://www.microsoft.com/windowsmobile/en-us/help/security/updates.mspx
    • BlackBerry RIM Bulletins and Information: http://na.blackberry.com/eng/ataglance/security/news.jsp
    • Android Security Announcements: http://groups.google.com/group/android-security-announce
    • Apple security updates: http://support.apple.com/kb/ht
    • Palm WebOS software update information: http://kb.palm.com/wps/portal/kb/common/article/22767_en.html
  6. Desafortunadamente, los recursos que publican las actualizaciones de seguridad de algunos fabricantes son difíciles de localizar, proporcionan un número reducido de actualizaciones, y/o limitan los detalles de las vulnerabilidades existentes.

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional 10

  1. Adicionalmente a las actualizaciones facilitadas por el fabricante del sistema operativo, es frecuente encontrar actualizaciones publicadas por parte del fabricante del hardware cuando ambos son diferentes, como por ejemplo dispositivos HTC basados en Windows Mobile [Ref.- 60].

5.3 ALMACENAMIENTO DE INFORMACIÓN

  1. Los dispositivos móviles más avanzados almacenan cantidades elevadas de información, tanto asociada a la configuración del sistema, como a las múltiples aplicaciones instaladas y a los diferentes servicios accesibles a través de los terminales, así como datos personales o corporativos de su propietario.
  2. Entre los datos almacenados se incluyen por ejemplo credenciales de acceso a servicios web e Internet, credenciales de cuentas de correo electrónico, mensajes de correo electrónico y telefonía (SMS/MMS), información de llamadas de telefonía y VoIP, documentos privados y confidenciales, la agenda de contactos, el calendario con información de eventos y actividades, fotografías, vídeos, grabaciones de voz, listas de tareas, etc.
  3. Una de las principales amenazas de seguridad en los dispositivos móviles actuales es el acceso a toda esta información por parte de un atacante, ya sea por disponer de acceso físico al dispositivo (de forma temporal o permanente), o por disponer de acceso remoto al terminal a través de una vulnerabilidad en alguno de sus componentes, o mediante una aplicación previamente instalada.
  4. SpyPhone [Ref.- 46] es una aplicación desarrollada para el iPhone de Apple que permite la obtención de información confidencial y personal almacenada en este tipo de dispositivos, incluso si no ha sido aplicado el jailbreak (ver apartado 5.8), afectando directamente a la privacidad del usuario.
  5. Los ejemplos de información obtenida por esta aplicación incluyen números de teléfono, lista de contactos, configuración de las cuentas de correo electrónico (salvo las contraseñas), las pulsaciones de teclado, búsquedas a través del navegador web, histórico de YouTube , las coordenadas recientes de localización a través del GPS, detalles de las conexiones a redes inalámbricas, capturas de pantalla, etc [Ref.- 47].
  6. Esta aplicación demuestra el riego asociado a la instalación de software aprobado por la tienda de distribución de aplicaciones oficial del fabricante (analizadas posteriormente), dónde cualquier aplicación, haciendo uso de las librerías estándar, puede pasar los filtros de aprobación para su publicación y extraer información privada del usuario.
  7. La información almacenada en el dispositivo puede ser protegida empleando mecanismos de cifrado, pero siempre debe tenerse en cuenta que el sistema operativo debe disponer de las capacidades necesarias para acceder a dicha información en tiempo real una vez se dispone de acceso al terminal. Es decir, pese al uso de cifrado en los soportes de almacenamiento, si un atacante consigue acceso al dispositivo, por ejemplo porque disponga del código de acceso o PIN, podrá acceder a los datos almacenados.

5.4 LOCALIZACIÓN

  1. La disponibilidad de GPS en la mayoría de dispositivos móviles permite la creación y utilización de nuevos servicios basados en la localización física del usuario en cualquier

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional 12

  1. Concretamente, en el entorno de los dispositivos móviles, han existido numerosos especímenes de malware en el pasado que se propagaban mediante las capacidades de comunicación Bluetooth de los terminales, como Caribe (2004) o Comm Warrior.
  2. Las características y funcionalidades añadidas en ocasiones por los fabricantes de los dispositivos móviles con el objetivo de mejorar las prestaciones del sistema operativo empleado pueden dar lugar a nuevas vulnerabilidades.
  3. Los dispositivos móviles (como HTC) con Windows Mobile incorporan el servicio HTC BT FTP (HTC Bluetooth OBEX FTP), sobre la pila Bluetooth estándar de comunicaciones de Microsoft, para la transferencia de ficheros a través de Bluetooth.
  4. Este servicio permite el acceso y modificación de ficheros en la carpeta específica asociada al servicio (por ejemplo, “My Device\My Documents\Compartimiento de Bluetooth ”). Sin embargo, en 2009, una nueva vulnerabilidad de desplazamiento por directorios fue descubierta por Alberto Moreno Tablado para Windows Mobile 6 y 6.1 en dispositivos como HTC (CVE-2009-0244) [Ref.- 12], siendo posible obtener y manipular cualquier fichero del dispositivo, independientemente de su ubicación en el sistema de ficheros, e incluso ejecutar código.
  5. Pese a que el servicio HTC BT FTP sólo está disponible para dispositivos emparejados, debe tenerse en cuenta que existen ataques para la captura de las claves de enlace Bluetooth , y la suplantación de otros dispositivos, que permitirían evitar esta restricción [Ref.- 55].

Figura 1. Acceso a cualquier carpeta a través de Bluetooth en dispositivos HTC [Ref.- 12].

5.5.2 WIFI

  1. Los dispositivos móviles están expuestos a la totalidad de las vulnerabilidades, amenazas y riesgos asociados a cualquier dispositivo informático con capacidades de comunicación a través de redes inalámbricas WiFi (802.11).
  2. Uno de los mayores riesgos de seguridad asociado a las comunicaciones de datos inalámbricas a través de redes WiFi es la conexión a redes públicas y abiertas, con un nivel de seguridad reducido o inexistente (sin mecanismos de autentificación y cifrado), no supervisadas por la organización propietaria del dispositivo, como por ejemplo hotspots WiFi disponibles en hoteles, aeropuertos o centros de conferencias.

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional 13

  1. Un dispositivo con conectividad WiFi, en función de los mecanismos de seguridad implantados en la red inalámbrica, está expuesto entre otros a la captura e interceptación de datos por parte de un tercero, afectando a la confidencialidad de las comunicaciones, ataques de inyección de tráfico y ataques de suplantación de la red, afectando a la integridad, y a ataques de denegación de servicio, afectando a su disponibilidad.
  2. Adicionalmente, una de las vulnerabilidades propias de los dispositivos móviles es la incorrecta integración por parte de los fabricantes de diferentes tecnologías de comunicación inalámbricas en un mismo dispositivo, desconociendo los requisitos de diseño de cada una de ellas.
  3. La mayoría de dispositivos móviles actuales proporcionan conectividad mediante Bluetooth y WiFi. La asignación de las direcciones físicas (o direcciones MAC) para cada una de estas tecnologías se lleva a cabo de forma correlativa en muchos casos, es decir, el dispositivo móvil posee la dirección 00:01:02:0A:0B:0C en el interfaz Bluetooth , y la dirección (siguiente) 00:01:02:0A:0B:0D en el interfaz WiFi.
  4. Este hecho, propio del proceso de fabricación y registro de los dispositivos móviles, introduce una nueva vulnerabilidad inexistente al emplear las tecnologías de forma independiente.
  5. La dirección física del dispositivo en Bluetooth se emplea como un secreto, y es necesaria para establecer cualquier comunicación con él. Cuando el dispositivo es configurado en modo no visible, situación recomendable desde el punto de vista de seguridad, la dirección se oculta.
  6. Sin embargo, la dirección de un dispositivo en WiFi puede obtenerse de forma trivial mediante la captura del tráfico inalámbrico, ya que está disponible en las cabeceras de cualquier trama transmitida, situación que no puede ser evitada ni empleando los estándares WiFi de seguridad más avanzados, como WPA2 Enterprise.
  7. La práctica común de asignar direcciones correlativas expone por tanto la dirección Bluetooth del dispositivo una vez se conoce la dirección WiFi, introduciendo una nueva vulnerabilidad independiente de la tecnología o implementación de la pila de comunicaciones Bluetooth.

5.5.3 GSM (2G): SMS

  1. La funcionalidad de SMS ( Short Message Service ) de los dispositivos móviles permite el envío de mensajes cortos empleando la infraestructura GSM ( Global System for Mobile communications , o 2G) empleada para las comunicaciones de voz de la telefonía móvil (mediante conmutación de circuitos).
  2. La especificación y la implementación del módulo SMS de los dispositivos móviles no soporta únicamente el intercambio de mensajes de texto, sino que también puede gestionar datos binarios, como tonos de llamada, y ficheros multimedia (audio, vídeo e imágenes), sobre todo en sus variantes avanzadas: EMS ( Enhanced Messaging Service ) y MMS ( Multimedia Message Service ).
  3. En el caso de dispositivos basados en Android, iPhone y Windows Mobile, durante el año 2009 se publicaron vulnerabilidades de denegación de servicio, y en algunos casos, de transferencia de ficheros y ejecución de código sin la intervención del usuario.
  4. En verano de 2009 se publicó una vulnerabilidad en dispositivos iPhone (CVE-2009-
    1. que afectaba a la decodificación de mensajes SMS [Ref.- 23]. Un atacante podía

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional 15

Figura 3. Ataque de denegación de servicio sobre Windows Mobile [Ref.- 23].

  1. Durante la misma conferencia, Zane Lackey y Luis Miras [Ref.- 24] presentaron el resultado de su investigación en la implementación SMS de diferentes dispositivos móviles, incluyendo EMS y MMS. El estudio identificó múltiples vulnerabilidades de denegación de servicio en Android, en aplicaciones MMS del iPhone, y en configuraciones WAP realizadas por distribuidores y operadoras sobre Windows Mobile.
  2. La investigación destaca adicionalmente la ausencia de medidas de seguridad en los mensajes administrativos intercambiados entre la infraestructura del operador de telefonía móvil y los terminales de los usuarios, como por ejemplo las notificaciones de mensajes en el buzón de voz, permitiendo a un atacante generar mensajes falsos de este tipo.
  3. Más crítica aún es la funcionalidad de provisión OTA (Over the Air ), que permite a las operadoras modificar la configuración de los terminales a través de mensajes SMS. Aunque estas actualizaciones solicitan confirmación del usuario, combinadas con técnicas de ingeniería social, ya que el usuario no puede diferenciar si el mensaje es legítimo o no, permitirían a un atacante reconfigurar el dispositivo víctima.

Figura 4. Recepción de una nueva configuración a través de OTA [Ref.- 24].

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional 16

  1. El análisis realizado sobre mensajes multimedia MMS, refleja la posibilidad de redirigir el dispositivo víctima hacia un servidor del atacante para obtener los contenidos del mensaje, evitando así los mecanismos de filtrado de contenidos de la operadora (antivirus, malware, spam, etc) y permitiendo falsear la identidad (número de teléfono) del emisor. Adicionalmente esta redirección permitiría al atacante identificar el tipo de dispositivo móvil víctima ( fingerprinting ) mediante las cabeceras HTTP.
  2. El impacto de este tipo de vulnerabilidades en tecnologías de comunicación tan extendidas como SMS es enorme, ya que la funcionalidad SMS está siempre activa en los terminales. Potencialmente es posible atacar cualquier dispositivo móvil vulnerable a nivel mundial con sólo conocer su número de teléfono, y existen notables carencias en los mecanismos de protección y software de seguridad específico para tráfico SMS.
  3. El envío de mensajes SMS también fue empleado en Europa en 2009 para la propagación de enlaces a sitios web maliciosos. Este ataque combinaba el uso de SMS, con las capacidades de acceso a Internet de los terminales y la ingeniería social, instando al usuario a visitar una página web a través de la cual se pretendía infectar a la víctima con el troyano Ambler , propio de entornos Windows [Ref.- 25]. El mensaje recibido por la víctima (traducido) era similar al siguiente: “Alguien ha publicado toda tu información personal y bancaria en . Debes eliminarla cuanto antes.”
  4. Curiosamente, el troyano Ambler fue empleado de nuevo en la propagación de malware desde dispositivos móviles BlackBerry, y su modo de almacenamiento USB, hacia los equipos a los que éstos se conectan [Ref.- 26], amenaza comentada posteriormente en el apartado “5.9. Vulnerabilidades y amenazas multiplataforma”. El troyano es ejecutado mediante la funcionalidad autorun de Windows, mecanismo también empleado por el troyano para infectar otros dispositivos de almacenamiento USB. Sus acciones maliciosas afectan a Internet Explorer y Outlook y se centran en el robo de credenciales e información sensible.

Figura 5. Propagación del troyano Ambler desde BlackBerry hacia equipos Windows [Ref.- 26].

  1. Durante el año 2010 se han identificado nuevas vulnerabilidades de seguridad asociadas a la posibilidad de incluir contenidos web (HTML y Javascript) en mensajes SMS.
  2. Los dispositivos Palm con WebOS son vulnerables a la recepción de mensajes SMS que contienen iframes e inyección de código HTML [Ref.- 76], ya que dichos contenidos no son filtrados adecuadamente por el terminal. Mediante el envío de SMS maliciosos, y con la simple lectura del mensaje por parte del usuario, un atacante puede abrir conexiones con sitios web maliciosos, descargar ficheros, forzar la descarga continua de contenidos,

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional 18

punto de vista práctico en diciembre de 2009 en la conferencia alemana de seguridad CCC [Ref.- 27] por Karsten Nohl.

  1. El estudio, basado en el uso de rainbowtables (tablas precalculadas) para deducir la clave empleada en una conversación, permite reducir enormemente el tiempo y coste de la infraestructura necesaria para llevar a cabo este ataque.
  2. En tecnologías 3G (o UMTS) existe un mecanismo de autentificación mutua entre el terminal y la red, por lo que no es posible realizar el ataque de suplantación de celda. Además, debido al uso de un algoritmo de cifrado diferente en 3G, denominado A5/3, tampoco aplica el ataque mencionado centrado en descifrar el tráfico.
  3. Sin embargo, dado que todos los terminales disponen de capacidades GSM, un atacante puede forzar que funcionen en 2G y no en 3G, conectándose por tanto a la celda del atacante o empleando el algoritmo de cifrado A5/1, vulnerable.
  4. Por ejemplo, los dispositivos móviles se conectan a través de la red 2G cuando la red 3G no está disponible (por falta de cobertura o por un ataque de denegación de servicio que sature la señal en el rango de frecuencias empleado), viéndose expuestos a los ataques de suplantación de la red y captura de tráfico mencionados.
  5. Adicionalmente, debe tenerse en cuenta que muchos operadores y proveedores de telefonía móvil emplean la misma clave pre-compartida entre el terminal del usuario y la red tanto para las comunicaciones 2G como 3G. Por tanto, si el dispositivo hace uso de ambas redes, y un atacante obtiene la clave mediante los ataques descritos sobre 2G, también podrá descifrar el tráfico de 3G.
  6. Se estima que la tecnología GSM es empleada a nivel mundial a finales del año 2009 por 4 billones de usuarios de teléfonos móviles [Ref.- 52], de ahí la criticidad y el impacto asociado a este tipo de ataques.
  7. La solución más viable para evitar la captura de tráfico en infraestructuras GSM pasa por cambiar el algoritmo de cifrado al empleado en infraestructuras de telefonía 3G, denominado A5/3 o Kasumi. Circunstancialmente, en enero de 2010, un estudio teórico centrado en descifrar el algoritmo A5/3 fue publicado por O. Dunkelman, N. Keller y A. Shamir (la S de RSA) [Ref.- 28]. Su aplicación práctica es inviable actualmente ya que requiere la captura de grandes cantidades de tráfico para poder derivar la clave asociada a una conversación, pero denota posibles debilidades en el algoritmo de cifrado de referencia en la actualidad para asegurar la confidencialidad de las comunicaciones móviles.
  8. La utilización de un algoritmo de cifrado robusto, como A5/3, sin embargo, no evita la vulnerabilidad de suplantación de celda durante el proceso de autentificación. Para ello es necesario no hacer uso de la tecnología GSM (2G) y emplear en su lugar UMTS (3G).
  9. Asimismo, debe tenerse en cuenta que en algunos países, los operadores de telefonía móvil no hacen uso de ninguno de los mecanismos de cifrado disponibles en el estándar GSM para las comunicaciones de voz o el envío de SMS [Ref.- 53].
  10. Por otro lado, el buzón de voz asociado a un teléfono móvil puede ser accedido desde cualquier teléfono mediante un PIN o código de acceso, por lo que éste es el único elemento de protección frente al acceso no autorizado a los mensajes de voz confidenciales que se almacenan en dicho buzón.
  11. Incluso para aquellos operadores dónde sólo se permite acceder al buzón de voz desde el propio terminal asociado al mismo, debe tenerse en cuenta que la autentificación se

CCN-STIC-450 Seguridad en dispositivos móviles

Centro Criptológico Nacional 19

realiza mediante el número llamante (conocido como “ caller ID ”), y que éste puede ser fácilmente falsificado por un atacante, suplantando al dispositivo auténtico (tanto en llamadas de voz como en mensajes de texto, SMS).

  1. Por último, debe tenerse en cuenta que la confidencialidad de las comunicaciones de voz asociadas a un dispositivo móvil no sólo puede verse vulnerada a través de debilidades en las redes de telefonía, sino también mediante la utilización de software malicioso que permita capturar el audio existente alrededor del dispositivo a través de su micrófono.

5.5.5 GSM (2G): COMUNICACIONES DE DATOS

  1. La telefonía móvil GSM (2G) permite el establecimiento de comunicaciones de datos casi permanentes las 24 horas del día mediante los estándares GPRS ( General Packet Radio Service , conocido como 2.5G) y EDGE ( Enhanced Data Rates for GSM Evolution , conocido como 2.75G), empleados por estaciones base sin capacidades UMTS (3G).
  2. Los algoritmos de cifrado empleados por GPRS y EDGE para la transmisión de datos (mediante conmutación de paquetes) son diferentes a los empleados en las comunicaciones de voz (A5), y se denominan GEA1 y GEA2.
  3. Pese a que no se conocen vulnerabilidades sobre dichos algoritmos de cifrado, la vulnerabilidad de autentificación existente en GSM previamente analizada, dónde un atacante podría suplantar a una estación base, sigue estando presente.
  4. Adicionalmente, las comunicaciones de datos a través de GPRS y EDGE emplean los estándares TCP/IP, por lo que los dispositivos móviles están expuestos a todas las amenazas de seguridad existentes en estos entornos y redes.

5.5.6 UMTS (3G): COMUNICACIONES DE VOZ Y DATOS

  1. Las tecnologías de comunicaciones móviles UMTS ( Universal Mobile Telecommunications System , o 3G) permiten a los dispositivos móviles disponer de conexiones de datos de banda ancha casi permanentes las 24 horas del día.
  2. Salvo los ataques teóricos sobre el algoritmo de cifrado empleado en tecnologías 3G (A5/3), mencionados previamente, no se conocen vulnerabilidades asociadas a este tipo de tecnología, aunque debe tenerse en cuenta que cualquier intercambio de información se basa en la confianza que el usuario tiene en el proveedor de telefonía móvil, encargado de cursar todo el tráfico desde y hacia el dispositivo a través de su infraestructura de red.

5.5.7 NFC (NEAR FIELD COMMUNICATION)

  1. Nuevas tecnologías inalámbricas, como NFC ( Near Field Communication ) [Ref.- 42] irrumpirán en el año 2010 en el mundo de los dispositivos móviles para convertirlos en medios de pago habituales.
  2. La tecnología NFC emplea un rango de radio frecuencia no licenciado, concretamente, 13,56 Mhz. NFC establece comunicaciones de corto alcance (unos pocos centímetros) con una ancho de banda de hasta 424 Kbps.
  3. NFC permite almacenar los datos de una tarjeta de crédito en la tarjeta SIM del terminal móvil, habilitando la realización de pagos en tiendas sin disponer de tarjeta de débito o crédito, o dinero en efectivo.