This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Objetivos de seguridad móvilEn.lo.que.se.refiere.a.seguridad,.las.dos.plataformas.móviles.más.importantes.comparten.muy.poco.con.sus.sistemas.operativos.de.escritorio.y.para.servidor..A.pesar.de.que.ambas.plataformas.fueron.construidas.en.sistemas.operativos.existentes.(iOS.está. basado. en. el. sistema. operativo. OSX. de. Apple. y. Android. está. basado. en. Linux),. éstos. utilizan. modelos. de. seguridad.mucho.más.elaborados.que.fueron.diseñados.en.su.núcleo.de.implementación..El.objetivo.probablemente.era.implementar.la.seguridad.interna.de.las.plataformas.móviles.en.lugar.de.utilizar.software.de.seguridad.de.terceros.
• Ataques de ingeniería social. Estos. ataques,. como. el. phishing,. se. aprovechan. de. la. ingeniería. social. para. engañar. al.usuario.y.hacer.que.revele.información.importante.o.instale.software.malicioso.en.su.computadora..
Resumen de la seguridad de iOSA.Symantec.considera.que.el.modelo.de.seguridad.de.iOS.está.bien.diseñado.y.ha.demostrado.poseer.una.gran.resistencia.a.ataques..En.resumen:
• El modelo de permisos de iOS garantiza. que. las. aplicaciones. no. puedan. obtener. la. ubicación. del. dispositivo,. enviar.mensajes.SMS.ni.iniciar.llamadas.sin.el.permiso.del.propietario.
Hasta. la. fecha,. Google. ha. corregido. 14. de. estas. 18. vulnerabilidades.. De. las. cuatro. vulnerabilidades. no. corregidas,. una.corresponde.al.tipo.de.escalamiento.de.privilegios.más.severo..Esta.vulnerabilidad.se.corregirá.en.la.versión.2.3.de.Android,.pero. no. se. ha. corregido. para. las. versiones. anteriores. del. mencionado. sistema. operativo.. Dado. que. la. mayoría. de. los.proveedores.no.han.actualizado.los.teléfonos.de.sus.clientes.de.Android.2.2.a.2.3,.prácticamente.todos. los.teléfonos.con.Android. (al. momento. de. la. redacción. de. este. informe). podrían. ser. vulnerables. a. ataques.. Esta. vulnerabilidad. puede. ser.aprovechada.por.cualquier.aplicación.de. terceros.y.no. requiere.que.el.atacante. tenga.acceso. físico.al.dispositivo.. .Según.los.datos.de.Symantec.al.momento.en.que.se.redactó.este.informe,.Google.tardó.aproximadamente.8.días.en.corregir.cada.vulnerabilidad.una.vez.descubierta.
Resumen de la seguridad de AndroidEn. general,. creemos. que. el. modelo. de. seguridad. de. Android. representa. una. mejora. importante. por. sobre. los. modelos.utilizados. por. los. sistemas. operativos. de. escritorio. y. basados. en. servidores;. sin. embargo,. presenta. dos. desventajas.importantes..En.primer.lugar,.su.sistema.de.procedencia.permite.que.los.atacantes.creen.y.distribuyan.software.malicioso.en.forma.anónima..En.segundo.lugar,.aunque.su.sistema.de.permisos.es.extremadamente.potente,.es.el.usuario.el.que.debe.tomar.las.decisiones.importantes.relacionadas.con.la.seguridad,.y.desafortunadamente,.la.mayoría.de.los.usuarios.no.están.capacitados.técnicamente.para.tomar.dichas.decisiones,.lo.que.ya.ha.dado.lugar.a.ataques.de.ingeniería.social..En.resumen:
• El enfoque de procedencia de Android garantiza. que. sólo. se. puedan. instalar. aplicaciones. firmadas. digitalmente. en.dispositivos. con. Android.. Sin. embargo,. los. atacantes. pueden. utilizar. certificados. digitales. anónimos. para. firmar. sus.amenazas.y.distribuirlas.por.Internet.sin.ninguna.certificación.de.Google..Los.atacantes.también.pueden.“troyanizar”.o.inyectar.códigos.maliciosos.fácilmente.en.aplicaciones.legítimas.y.redistribuirlos.fácilmente.por.Internet,.firmándolos.con.un.nuevo.certificado.anónimo..En.cuanto.al.aspecto.positivo,.Google.requiere.que.los.autores.de.aplicaciones.que.deseen.distribuir.las.suyas.a.través.de.Android.App.Marketplace.paguen.un.arancel.y.se.registren.en.Google.(compartiendo.su.firma.digital.de.desarrollador.con.Google)..Al.igual.que.con.el.enfoque.de.registro.de.Apple,.éste.representa.un.obstáculo.para.los.atacantes.menos.organizados.
•. Al. igual. que. con. iOS,. Android. no. posee. ningún. mecanismo. para. evitar. ataques. de. Ingeniería. Social,. como. ataques. de.phishing.u.otros.engaños.basados.en.la.web.(fuera.del.dispositivo).
iOS vs. Android: Comparación sobre SeguridadLas. siguientes. tablas. resumen. nuestras. conclusiones. acerca. de. las. diversas. fortalezas. y. debilidades. de. las. plataformas.móviles.iOS.y.Android.
El.hecho.de.que.muchos.empleados.lleven.sus.propios.dispositivos.a.la.empresa.y.los.utilicen.sin.supervisión.para.acceder.a. recursos. corporativos. como. calendarios,. listas. de. contacto,. documentos. corporativos. e. inclusive. para. enviar. y. recibir.mensajes.de.correo.electrónico.aumenta.el.riesgo..A.menudo.también.los.empleados.sincronizan.estos.datos.corporativos.con.servicios.en.la.nube.de.terceros.y.con.sus.laptops.o.PCs.en.sus.hogares..Esta.conectividad.alternativa.produce.“fugas”.de.datos.corporativos.potencialmente.importantes.en.sistemas.de.terceros.que.no.están.bajo.el.control.directo.de.la.organización.