Tag Archive for mobile

OWASP Mobile Security Project

Introducción

OWASP (Open Web Application Security Project) nos provee de una serie de recursos basados sobre todo en guías y herramientas para que nuestros proyectos web sean lo más seguros posibles, tanto desde el punto de vista de desarrollo seguro como de la evaluación de la seguridad de éstos.

Para los desarrolladores ofrece una gran cantidad de recursos para ayudar a llevar a cabo un ciclo de vida de desarrollo de software seguro (S-SDLC, Secure Software Development Life Cycle).

Para los auditores de seguridad ofrece una gran cantidad de recursos como guías y herramientas para evaluar la seguridad de las aplicaciones móviles.

OWASP Objetivos

OWASP Mobile Security Project

Pues bien, tanto los desarrolladores de aplicaciones móviles como los auditores de éstas, pueden aprovecharse también de recursos de este tipo para poder alcanzar el objetivo de la máxima seguridad posible. Para ello OWASP nos propone su Mobile Security Project.

owasp-msp-logo

La imagen anterior es el logotipo oficial del proyecto OWASP Mobile Security Project.

OWASP ProcesosAl igual que en las aplicaciones web, para conseguir el nivel máximo de seguridad posible es imprescindible que todos los factores se alineen; personas, procesos y tecnología.

Recursos OWASP Mobile Security Project

A continuación nombraremos algunos de los recursos disponibles en este proyecto.

Top 10 Mobile Risks: Tal y como podemos encontrar con el Top 10 de riesgos en aplicaciones web, también tenemos este recurso disponible en el proyecto MSP.

Developer Cheat Sheet: Una “chuleta” con consejos para el desarrollador para evitar errores que puedan dar lugar a vulnerabilidades en su aplicación.

App Security Testing Cheat Sheet: Una “chuleta” para el auditor con información interesante para llevar a cabo la evaluación de la seguridad de la aplicación.

Secure Mobile Development: Recurso para el desarrollador que le ayudará durante el ciclo de desarrollo de software seguro (S-SDLC).

Security Tesing Guide: Similar a la Testing Guide para aplicaciones web, también podemos encontrar una guía de test para ayudar al auditor durante sus tareas de evaluación de los controles de seguridad de la aplicación.

Tools: OWASP nos propone un arsenal de herramientas que nos ayudarán tanto para el desarrollo seguro así como para testear los distintos controles de seguridad. Disponibles para las diferentes plataformas (Android, iOS o Windows Phone).

Top 10 Mobile Controls: Definidos conjuntamente por la ENISA y OWASP, nos indica el top 10 de los controles de seguridad a evaluar.

owasp-msp-resources

En próximos artículos en el blog hablaremos de los distintos recursos que acabamos de comentar. Como siempre, esperamos que sean de vuestros interés y esperamos vuestro feedback.

¡Saludos!

@miguel_arroyo76

 

 

Localiza a tu presa con Prey Project

Robo de móviles Android o iPhone, tabletas e incluso portátiles… hoy en día están aumentando cada vez más este tipo de delitos y son muchos los usuarios que nos piden ayuda para poder recuperar sus dispositivos por la importancia de la información que tienen en ellos.

En seguridad siempre solemos buscar remedio a las cosas cuando el daño ya está hecho. Con el artículo de hoy vamos a ver como podemos localizar a nuestra “presa”, para ello haremos uso de Prey Project, un servicio/herramienta que nos permite infinidad de posibilidades a la hora de monitorizar nuestros dispositivos.

Entramos en la Web de Prey Project y nos damos de alta con un correo electrónico, este nos servirá para entrar a nuestro panel de usuario donde monitorizar nuestros dispositivos.

prey01

Podemos añadir todo tipo de dispositivos, desde nuestros terminales móviles  (iOS o Android) hasta nuestros equipos de sobremesa o portátiles (Mac OS X, Windows o Linux). La versión gratuita nos permite monitorizar hasta 3 dispositivos. En nuestro caso hemos añadido dos terminales móviles y un portátil, todos ellos los podemos monitorizar desde nuestro panel de administración. prey02

Para añadir estos dispositivos en nuestro panel de control tenemos que instalar la aplicación en aquellos dispositivos que queramos monitorizar, por ejemplo en nuestro terminal Android, donde nos aparecerán muchos permisos que conceder a la App, pues con ella vamos a poder a acceder a toda la información que queramos del teléfono.

preyAndroid

Una vez dentro del panel de administración seleccionamos el dispositivo Android y vemos todas las posibilidades que tenemos.

prey03

Dentro de las opciones que tenemos hemos elegido la de Mapa y acciones, donde vemos en el panel de la derecha como podemos hacer sonar el teléfono, enviar un mensaje en pantalla, ocultar la App en el terminal o incluso bloquear el terminal con una clave, además de la geolocalización del terminal.

Una de las posibilidades más interesantes de este servicio es la posibilidad de Marcar como perdido, lo que hace que se nos envíen a nuestro correo electrónico constante información sobre donde está el terminal con información de longitud/latitud, redes que tiene a su alcance o incluso fotografías desde todas las cámaras del mismo.

prey04

Estos Reportes los podemos consultar a posteriori con muchísima información sobre nuestro terminal, la cual nos permitirá cazar a nuestra “presa”, incluso tener fotos de la misma.

reporte

Vemos como se nos ofrece información exacta de geolocalización con coordenadas del dispositivo, modelo, IMEI, IP pública desde donde se conecta a Internet, fotografías de las cámaras delantera y trasera e incluso la lista de redes que tiene el dispositivo al alcance.

Tenemos también opciones de ver los Informes de Actividad de los dispositivos, donde podemos hacer un seguimiento de todo lo que ha ido haciéndose desde el terminal (ubicaciones, redes a las que se conecta…)

prey05

Otro información importante que podemos obtener desde la opción Información de Hardware son datos como el IMEI o la MAC del dispositivo.

En definitiva, una herramienta en cuya versión gratuita nos brinda muchas posibilidades para recuperar nuestros dispositivos. Dentro de la versión de pago incluye mejoras en cuanto a recuperación remota de datos y otras opciones.

Existen otras herramientas en Android muy conocidas como puede ser Android Manager o Cerberus, las cuales pueden complementar a Prey Project en dar caza a nuestra “presa”.

Dar las gracias a Miriam García por enseñarnos de la existencia de esta herramienta, la cual es muy interesante que conozcáis.

Un handshake a todos y como ponen los chicos de Prey Project en sus mails:

Happy Hunting !!

@eduSatoe

“Cada dolor te hace más fuerte, cada traición más inteligente, cada desilusión más hábil y cada experiencia más sabio…”

CONAN Mobile de INTECO

INTECO (Instituto Nacional de Tecnologías de la información) lanza CONAN Mobile, una aplicación gratuita que nos permite proteger nuestro dispositivo Android facilitándonos información acerca del estado de seguridad del dispositivo.

Sin lugar a dudas, una App que no puede faltar en nuestro repositorio de aplicaciones de nuestro Android. Puedes descargarlo en Google Play y testear en el momento el nivel de seguridad de tu dispositivo. Interesante, ¿verdad?

A continuación os enseñamos lo fácil que resulta lanzar un análisis del dispositivo así como una breve explicación de algunos de los resultados que podemos obtener.

En primer lugar descargamos e instalamos la aplicación desde el Play Store. (Los colores del icono de la aplicación no corresponden exactamente. Nuestro dispositivo “rooteado” ha tocado la paleta de colores del dispositivo “más de la cuenta” 😉

Conan Mobile
Una vez localizada la aplicación, la instalamos y previamente aceptamos los permisos que la aplicación necesita para ejecutarse correctamente. Es muy importante que revisemos bien los permisos de cualquier aplicación que vayamos a instalar en nuestro dispositivo.
CONAN MobileUna vez aceptados los permisos e instalada la aplicación ya podremos hacer uso de ella. La ejecutamos y nos aparecerá un aviso de que es una versión Beta así como un enlace para leer las condiciones del servicio. Recordar que se trata de una versión Beta, por lo que no se puede garantizar un funcionamiento totalmente correcta de la aplicación.

CONAN MobileUna vez aceptada esta ventana, ya tan sólo nos queda lanzar el análisis de seguridad del dispositivo. Si, ¡así de sencillo!

CONAN MobilePulsamos botón “Analizar mi dispositivo” y tan sólo unos segundos después tendremos los resultados del análisis en pantalla.

Read more

Mantén tu smartphone seguro

Desde Hacking Ético os lanzamos la siguiente pregunta. ¿Realmente nuestros smartphones son inseguros? ¿Cómo puedo mantener mi smartphone seguro? Cada vez somos más los que usamos habitualmente nuestro smartphones como si de un ordenador de bolsillo se tratara. Da igual iPhone, Android o Blackberry, la cuestión es poder conectarnos a Internet desde cualquier sitio, navegar por páginas Web, chatear con nuestros amigos o escribir publicaciones en nuestras redes sociales favoritas.

Todo esto conlleva a que nuestro dispositivo es un atractivo objeto para “chicos malos”, ya sea para robarnos el teléfono (que cada vez se usa menos como teléfono) o para robar información del mismo. El caso es que almacenamos información que puede ser de interés, y como tal debe ser protegida.

Para el primer caso, en caso de robo o pérdida, existen aplicaciones para poder localizar el dispositivo e incluso de forma remota poder apagarlo ó resetearlo entre otras operaciones. Algunas de éstas apps conocidas son:

  • Find my iphone (iPhone)
  • Cerberus (Android)
  • Blackberry Protect (Blackberry)

Para evitar ser víctimas de malware, podemos hacer uso de aplicaciones anti-malware para proteger nuestro dispositivo. Además de agente permante, podemos escanear los archivos y aplicaciones descargadas antes de instalarlas. Algunos ejemplos son:

  • Norton Mobile Security (Gratis)Enlace
  • Kaspersky Mobile Security (De pago) Enlace

Como siempre, esperamos que esta información os sea de utilidad, saludos!