Seguridad para aplicaciones móviles - Fernando Flores
Transcript of Seguridad para aplicaciones móviles - Fernando Flores
1
Seguridad para aplicaciones móviles
Ing. Fernando Flores
GMS - Ecuador Gerente de Innovación y Desarrollo
5 #GX25
TIPOS DE AMENAZAS CONEXION
DISPOSITIVO APP
Ø Modificación de App
Ø Intercepción de datos o Keyloggers o Screenloggers
Ø Acceso a información almacenada
Ø Vulnerabilidades del dispositivo
Ø Bypass de autenticación doble factor
Ø Intercepción de tráfico / ataque MITM
Ø Suplantación de DNS / DNS Spoofing
Ø Envenenamiento de caché DNS
Ø Suplantación de certificado SSL
7 #GX25
EVOLUCION DE MALWARE MOVILES
0
50.000
100.000
150.000
200.000
250.000
300.000
350.000
400.000
2011 2012 2013 2014 2015 S1 . 5.000 40.000 145.000 280.000 395.000 Source: Kaspersky Lab
8 #GX25
MODOS DE INFECCION Ø Tiendas de Apps
Ø Descargas vía Web
Ø Conexiones vía USB
Ø Adjuntos en correos electrónicos
9 #GX25
Kaspersky Fraud Prevention (KFP) es un conjunto de productos Kaspersky Lab para proteger instituciones contra fraude que se origina en los equipos de sus usuarios
KASPERSKY FRAUD PREVENTION
10 #GX25
Ø KFP4E: Solución para entornos Web
Ø KFP-SDK: Solución para entornos Mobile
KASPERSKY FRAUD PREVENTION
12 #GX25
AMENAZAS PROTEGIDAS Comunes Ø Malware
Ø Ataque MITM
Ø DNS spoofing
Ø Envenenamiento de caché DNS
Ø Suplantación de Certificado SSL
Ø Spyware: o Keyloggers o Screenloggers
Ø Intercepción y falsificación de mensajes SMS
Intermedias Avanzadas
Ø Apps maliciosas que acceden a información grabada en dispositivo móvil
Ø Exploits por dispositivos con Firmware desactualizado
Ø Exploits por dispositivos con Root / Jailbreak
Ø Páginas Web infectadas
Ø Métodos de inyección Ø Ataque de día cero
o Apps nuevas no oficialmente declaradas como Malware
13 #GX25
Android: Ø Android 2.3.x (Gingerbread) – 5.0 (Lollipop)
iOS: Ø iOS 5 – iOS 8
Windows Phone: Ø Windows 8 y Windows 8.1
PLATAFORMAS SOPORTADAS
14 #GX25
Ø External objects
INTEGRACION CON GENEXUS
Ø User Control: Safe Input
Ø Modificacion de templates de instalación GeneXus
15 #GX25
Ø Empresa desarrolladora de Software: o Diferenciador o Prevención de fraude o fuga de información
BENEFICIOS
Ø Empresa que desarrolla Software InHouse: o Prevención de fraude o fuga de información
Ø Empresa que adquiere Software: o Conocimiento sobre amenazas