Todos os posts tagados android

Segurança na plataforma Android

web-android

Olá a todos. O WebSegura lançou-me o desafio de falar um pouco sobre segurança na plataforma Android.

Os comentários seguintes vou baseá-los na minha experiência profissional enquanto Penetration Tester na Integrity S.A, onde muito frequentemente faço análise de aplicações mobile, bem como enquanto power user, dado que é a minha plataforma de eleição nos meus dispositivos móveis.

Confio na plataforma, considero que tem implementado um conjunto de mecanismos que garantem um bom nível de segurança para o utilizador, dos quais destaco o Application Sandboxing.

Imaginemos o cenário em que uma aplicação maliciosa tem como objectivo extrair informação do utilizador para o exterior. Sem o mecanismo de sandboxing, essa aplicação poderia facilmente navegar pelo sistema de ficheiros de outras aplicações e extrair essa informação sem o utilizador ter qualquer noção. Passo a detalhar o mecanismo.

O sistema automaticamente associa um user ID (UID) a cada nova aplicação no momento da sua instalação e a execução da aplicação é feita num processo dedicado associado ao seu UID. É também atribuída uma directoria dedicada no sistema de ficheiros onde apenas a aplicação em causa tem permissões de leitura e escrita. Cada directoria é criada com o nome do package da aplicação em notação reverse domain name, por exemplo: com.android.email. Podemos encontrar cada uma dessas directorias no sistema de ficheiros em /data/data/.

data_data

Com estes dois mecanismos as aplicações estão isoladas tanto ao nível do processo (cada aplicação é executada no seu processo) bem como ao nível do sistema de ficheiros (cada aplicação possui uma directoria própria), fazendo com que desta maneira uma aplicação maliciosa não possa interagir com outras aplicações ou aceder aos seus dados directamente.

android

Mas nem tudo são coisas boas.

Existem claro excepções à regra, quando por exemplo, aplicações mal desenhadas expõem métodos sem as devidas restrições, que permitem outras aplicações acederem ás suas funcionalidades e dados, invalidando o modelo de sandboxing. Outro exemplo serão também aplicações maliciosas que exploram falhas no sistema e que lhes permite escalar privilégios para root e aí têm capacidade de fazer bypass ao modelo de sandboxing, dado que o utilizador root terá privilégios sobre todo o sistema de ficheiros.

Existe a questão da fragmentação das versões dos sistemas operativos, na qual os fabricantes têm a sua quota parte de responsabilidade, fazendo com que versões de sistema operativos mais recentes não cheguem a certos equipamentos, apesar de a nível de hardware serem capazes de suportar versões mais recentes, fazendo com que milhares de equipamentos estejam vulneráveis a certo tipo de falhas que foram corrigidas em versões superiores. O controlo / validação por parte da Store no momento em que novas apps são submetidas necessita de ser melhorado e mais eficaz, de modo a que o número de apps maliciosas reduza. Dado esse controlo por vezes não ser eficaz, o utilizador tem um papel muito importante.

Para além de todas as seguranças que o fabricante possa implementar, o utilizador deve utilizar outro mecanismo de segurança que se chama Bom Senso.
Antes da instalação de qualquer tipo de app, há que analisar o tipo de permissões que são necessárias para a mesma, o tipo de reviews, perceber quem é a entidade que está responsável pela app e até uma pesquisa rápida por vulnerabilidades que possam ser conhecidas naquela app e depois dessa análise usar o bom senso e decidir se a relação risco / benefício é aceitável.É preciso bastante cuidado também com as fontes de onde são instaladas estas aplicações. Instalação de apps provenientes de outras apps stores onde possa não haver controlo e validação do seu conteúdo bem como de apps de fontes desconhecidas é bastante perigoso.

Espero que tenha ajudado a compreender um pouco mais como funciona a plataforma. Nunca é de mais repetir que independentemente de todas os mecanismos de segurança que possam existir, há que haver uma análise cuidada da nossa parte antes de qualquer instalação.

Para todos os que gostariam de aprofundar conhecimento na plataforma Android e em especial no tema da segurança, aconselho a leitura dos livros Android Hacker’s Handbook e Android Security Internals. À data da escrita deste artigo estamos a dias da disponibilização de outro livro, o The Mobile Application Hacker’s Handbook, que pelo conteúdo e pelos colaboradores no livro será sem dúvida obrigatório.

O seu Android está vulnerável?

O seu Android está vulnerável?

…ao ataque remoto USSD?

Para os utilizadores que não têm o sistema operativo mobile Android atualizado (este bug foi corrigido às uns meses atrás), deixo aqui uma pequena página web para verificar se telemóvel está vulnerável a este ataque.

Para testar, basta executar no telemóvel o seguinte endereço:
http://www.websegura.net/ussd.htm

Nesta página foi inserido o código HTML iframe para executar o seguinte comando tel:*#06# no telemóvel Android. Basicamente é como se inserisse no seu teclado mobile *#06# que, posteriormente, mostraria o código IMEI.

Se aparecer o vosso código IMEI significa que devem atualizar quanto antes o vosso sistema Android. Ao invés de executar um código inofensivo, este ataque poderia ser utilizado por utilizadores maliciosos para, por exemplo, eliminar todo o conteúdo do telemóvel.

A título de curiosidade, e para ter uma ideia em termos de estatística, coloquem o vosso comentário com o resultado, ou seja, se estavam vulneráveis ou não.
Obrigado.

Phishing bancário perto do seu telemóvel

Phishing bancário perto do seu telemóvel

O blogue das Kaspersky alerta que os phishers brasileiros, também responsáveis por ataques em Portugal, estão a começar a criar páginas falsas de bancos com objectivo de angariar contas de clientes do mobile banking.

O esquema é bastante simples de implementar. Começa por espalhar mensagens de email com links maliciosos, cuja programação detecta automaticamente qual o sistema operativo do telemóvel (baseado no user-agent do browser).

Essas mensagens de email fraudulentes poderão conter mensagens muito semelhantes aos emails de bancos reais, tais como mensagens alusivas à versão mobile, como por exemplo:

O seu Banco na palma das suas mãos.

O seu Banco à distância do seu telemóvel.

Consulte o seu saldo bancário mobile.

Os links maliciosos que acompanham esses emails têm como finalidade obter dados confidenciais das contas bancárias dos utilizadores menos atentos. Esses links geralmente são sites com dominios recem-criados ou páginas com reputação que foram comprometidos. Na maioria dos casos, não deverá ver no browser o endereço real do seu banco.

Em Portugal deve estar para breve a utilização deste ataque, isto porque a maioria dos casos registados de phishing no nosso país são oriundos do Brasil. Os utilizadores deverão estar preparados e atentos a estes tipos de ataque.

A Kaspersky Brasil recomenda as seguintes medidas:

  • dê preferência aos aplicativos de mobile banking oficiais disponibilizados gratuitamente pelo seu Banco. Eles podem ser baixados na loja de aplicativos do seu smartphone;
  • evite o acesso através do navegador. Caso seja realmente necessário, dê preferência para os sites com endereço b.br, ou seja seubanco.b.br
  • nunca faça operações via mobile bank estando conectado em uma rede wireless pública, dê preferência para redes de dados 3G ou Edge da sua operadora;
  • nunca clique em links enviados por supostos e-mails do seu banco;
  • não use o Google para procurar a página do banco, pois criminosos usam links patrocinados que aparecem no topo da página;
  • instale um antivírus em seu smartphone ou tablet, alguns deles possuem recursos como navegação segura, capaz de bloquear o acesso a sites de phishing
  • o Kaspersky Mobile Security para usuários de Android também protege contra ataques de phishing e pode ser baixado gratuitamente aqui.

Antivírus gratuitos falham teste no Android

Segundo o estudo realizado pelo AV Test, os antivírus gratuitos não têm o desempenho adequado em comparação com os antivírus pagos.

Contudo, o software Zoner AntiVirus Free teve um desempenho superior em relação aos outros AV gratuitos.

De facto, penso que os actuais valores para a compra de software AV são compensados com a possibilidade de perda de informação. Mas esta é a minha opinião…

Android é o sistema operativo mais atacado por malware

No Bol Notícias:

Os celulares com sistema operacional Android, criado pela Google, se tornaram no último trimestre o alvo da maior parte dos ataques de software malicioso -“malware”- a plataformas móveis, informou nesta quarta-feira a companhia multinacional de segurança informática McAfee.

No último relatório trimestral, a empresa afirmou que os ataques experimentaram “um rápido aumento” entre o primeiro e o segundo trimestres do ano e o Android passou do terceiro para o primeiro sistema móvel mais atacado. A segunda colocação é agora da plataforma móvel Java Micro Edition (J2ME).

Uma das formas mais comuns de infecção de celulares com “malware” no período estudado, segundo a McAfee, foi a distribuição de aplicativos modificados com fins maliciosos, que corrompem jogos e software ‘sãos’.