SlideShare una empresa de Scribd logo

Smartphones: El enemigo en tu bolsillo

Santiago Vicente
Santiago Vicente
Tecnología
1 de 51
*[Smartphones: El enemigo en tu bolsillo] Autor: Santiago Vicente E-mail: svicente@s21sec.com Fecha: 07/07/2011
Smartphones: El enemigo en tu bolsillo © copyright S21sec 2011 La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización. Pág. 2
Índice Introducción Evolución de los dispositivos Seguridad en Smartphones Mercado de aplicaciones Evolución del malware Casos en detalle • Gemini • ZitMo Nuevas funcionalidades y amenazas • Privacidad • Geolocalización • NFC Conclusión Pág. 3
Introducción Pág. 4
Introducción Pág. 5
Evolución de los dispositivos Pág. 6
¿Qué es un smartphone? Pág. 7
Evolución de los dispositivos Pág. 8
Evolución de los dispositivos Pág. 9
Evolución de los dispositivos Pág. 10
Evolución de los dispositivos Pág. 11
Evolución de los dispositivos Pág. 12
Seguridad en Smartphones Pág. 13
Seguridad en Smartphones 5 Pilares: • Control de acceso • De donde provienen las aplicaciones • Cifrado • Aislamiento • Permisos Pág. 14
Mercado de aplicaciones Pág. 15
Mercado de aplicaciones App Store de Apple Android Market Ovi Store de Nokia BlackBerry App World Windows Marketplace Pág. 16
Mercado de aplicaciones Pág. 17
Mercado de aplicaciones Pág. 18
Evolución del malware Pág. 19
Evolución del malware Pág. 20
Evolución del malware Pág. 21
Evolución del malware Pág. 22
Evolución del malware Ikee.A • Primer código malicioso para iPhone • Ashley Towns, 21 años • Australia Pág. 23
Evolución del malware Droid09 • Primer código malicioso en Android Market Android.FakePlayer Pág. 24
No solo Malware… Pág. 25
Vectores de infección Ingenieria social Mensajería: SMS-o-Death Bluetooth Warez apps (Black Markets) Pág. 26
Vectores de infección Propagación mediante QRCODE Vulnerabilidades o configuraciones débiles El propio operador Pág. 27
Vectores de infección Tú novi@, pareja, padre, madre, vecino…. Pág. 28
Casos en detalle Pág. 29
Gemini Distribución mediante juegos reempaquetados Convierte el terminal en un bot • Puede enviar SMS • Puede realizar llamadas • Puede descargar y ejecutar binarios • Requerirá aprobación de permisos • Comunica con un panel de control cada 5 minutos. • Admite comandos: • Contactlist • Sms • Call • Install • Location • Kill • … Pág. 30
Gemini android.permission.INTERNET android.permission.ACCESS_COARSE_LOCATION android.permission.READ_PHONE_STATE android.permission.VIBRATE com.android.launcher.permission.INSTALL_SHORTCUT android.permission.ACCESS_FINE_LOCATION android.permission.CALL_PHONE android.permission.MOUNT_UNMOUNT_FILESYSTEMS android.permission.READ_CONTACTS android.permission.READ_SMS android.permission.SEND_SMS android.permission.SET_WALLPAPER android.permission.WRITE_CONTACTS android.permission.WRITE_EXTERNAL_STORAGE com.android.browser.permission.READ_HISTORY_BOOKMARKS com.android.browser.permission.WRITE_HISTORY_BOOKMARKS android.permission.ACCESS_GPS android.permission.ACCESS_LOCATION android.permission.RESTART_PACKAGES android.permission.RECEIVE_SMS android.permission.WRITE_SMS Pág. 31
MitMo Infección del ordenador Robo de credenciales Transferencia fraudulenta Cash out Pág. 32
MitMo Infección del ordenador Robo de credenciales Infección del móvil Robo OTP-SMS Transferencia fraudulenta Cash out Pág. 33
MitMo Pág. 34
MitMo Spoofed SMS Sender ID ID Token (importante!) Pág. 35
MitMo Pág. 36
MitMo BLOCK ON: Ignora llamadas BLOCK OFF: Deshabilita ignorar SET ADMIN: Cambia el número del C&C SMS ADD SENDER: Añade número a interceptar ADD SENDER ALL: Intercepta todos los SMS REM SENDER: Quita un número a interceptar REM SENDER ALL: Quita toda la interceptación SET SENDER: Actualiza información de un contacto Pág. 37
MitMo CREDENCIALES ZEUS 0023424 : OTP (mTAN) COMANDOS MITMO Pág. 38
MitMo Bloqueo del envío de SMS al SMS C&C desde todos los operadores Revocar el certificado de la aplicación móvil (Nokia) Alerta temprana e informes para clientes Compartición de binarios entre AV y empresas Búsqueda activa de otras plataformas (BlackBerry y Windows Mobile)
Nuevas funcionalidades y amenazas Pág. 40
Privacidad TaintDroid: • http://appanalysis.org/demo/index.html iPhone Privacy: • http://seriot.ch/resources/talks_papers/iPhonePri vacy.pdf Skype en Android: • http://blogs.skype.com/security/2011/04/privacy_ vulnerability_in_skype.html Pág. 41
Geolocalización Pág. 42
Geolocalización Geolocalización irresponsable: • http://www.hacktimes.com/geolocalizaci_n_desc ontrolada/ iPhone Location Tracking: No Geolocalización: • http://no-geolocation.blogspot.com/ Pág. 43
NFC Pág. 44
NFC Identificación Smartposters: Pág. 45
NFC Amenazas: • Pérdida • Man in The Middle • Ingeniería social • Suplantación Pág. 46
Conclusión Pág. 47
Conclusión Pág. 48
Conclusión Puntos a tener en cuenta: • Seguridad física • Cifrado de datos • Autenticación • Safe browsing (exploits o phishing) • Sistema Operativo seguro • Sandboxing (permisos) • Privacidad • Malware • Actualizaciones y distribución de paquetes • Notificaciones Push • ¿Enterprise? Pág. 49
Conclusión Concienciación!! • Mantener Software actualizado • Habilitar PIN o contraseña • Cifrado de información • Deshabilitar características no usadas • Bluetooth oculto y con contraseña • Desconfiar • Evitar redes Wi-fi no seguras Pág. 50
*[ MUCHAS GRACIAS ] Santiago Vicente S21sec e-crime Analyst svicente@s21sec.com http://blog.s21sec.com Twitter: smvicente Pág. 51

Recomendados

Test
TestTest
TestJosemOrtizzamora
 
Suandy vargas 11 03
Suandy vargas 11 03Suandy vargas 11 03
Suandy vargas 11 03suandy vargas
 
Mis aparatos
Mis aparatos Mis aparatos
Mis aparatos albertobotmen
 
Bachillerato oficial emiliano zapata
Bachillerato oficial emiliano zapata Bachillerato oficial emiliano zapata
Bachillerato oficial emiliano zapata Luis lira
 
Zeus-R-uS
Zeus-R-uSZeus-R-uS
Zeus-R-uSSantiago Vicente
 
NFC: funcionamiento, usos e implicaciones en seguridad
NFC: funcionamiento, usos e implicaciones en seguridadNFC: funcionamiento, usos e implicaciones en seguridad
NFC: funcionamiento, usos e implicaciones en seguridadSantiago Vicente
 
Tecnología NFC
Tecnología NFCTecnología NFC
Tecnología NFCNFC Blog
 
NFC ¿ Qué es y qué podemos hacer con él ?
NFC ¿ Qué es y qué podemos hacer con él ?NFC ¿ Qué es y qué podemos hacer con él ?
NFC ¿ Qué es y qué podemos hacer con él ?Carlos Toxtli
 

Recomendados

Test
TestTest
TestJosemOrtizzamora
 
Suandy vargas 11 03
Suandy vargas 11 03Suandy vargas 11 03
Suandy vargas 11 03suandy vargas
 
Mis aparatos
Mis aparatos Mis aparatos
Mis aparatos albertobotmen
 
Bachillerato oficial emiliano zapata
Bachillerato oficial emiliano zapata Bachillerato oficial emiliano zapata
Bachillerato oficial emiliano zapata Luis lira
 
Zeus-R-uS
Zeus-R-uSZeus-R-uS
Zeus-R-uSSantiago Vicente
 
NFC: funcionamiento, usos e implicaciones en seguridad
NFC: funcionamiento, usos e implicaciones en seguridadNFC: funcionamiento, usos e implicaciones en seguridad
NFC: funcionamiento, usos e implicaciones en seguridadSantiago Vicente
 
Tecnología NFC
Tecnología NFCTecnología NFC
Tecnología NFCNFC Blog
 
NFC ¿ Qué es y qué podemos hacer con él ?
NFC ¿ Qué es y qué podemos hacer con él ?NFC ¿ Qué es y qué podemos hacer con él ?
NFC ¿ Qué es y qué podemos hacer con él ?Carlos Toxtli
 
Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Dylan Irzi
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Seguridad Informática
Seguridad Informática Seguridad Informática
Seguridad Informática Ciudad Educativa
 
Internet Seguro
Internet SeguroInternet Seguro
Internet SeguroCiudad Educativa
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móvilesEventos Creativos
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Conspiración en la red
Conspiración en la redConspiración en la red
Conspiración en la redCarlos Mesa
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionChristian404806
 
Apptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizanApptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizanapps4citizens
 
Malware en android
Malware en androidMalware en android
Malware en androidEventos Creativos
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Cristian Borghello
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Eventos Creativos
 
Amenazas para los smartphones
Amenazas para los smartphonesAmenazas para los smartphones
Amenazas para los smartphonesWilliam Henry Vegazo Muro
 
Trabajo informatica
Trabajo informaticaTrabajo informatica
Trabajo informaticamartambgm
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesGissim
 
Consejos de seguridad
Consejos de seguridadConsejos de seguridad
Consejos de seguridadJuan Pedro Guardia González
 
Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11Consorcio IdenTIC
 
Tendencias en seguridad informática
Tendencias en seguridad informáticaTendencias en seguridad informática
Tendencias en seguridad informáticaKaspersky Lab
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Más contenido relacionado

Similar a Smartphones: El enemigo en tu bolsillo

Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Dylan Irzi
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móvilesEventos Creativos
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Conspiración en la red
Conspiración en la redConspiración en la red
Conspiración en la redCarlos Mesa
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionChristian404806
 
Apptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizanApptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizanapps4citizens
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Cristian Borghello
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Eventos Creativos
 
Trabajo informatica
Trabajo informaticaTrabajo informatica
Trabajo informaticamartambgm
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesGissim
 
Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11Consorcio IdenTIC
 
Tendencias en seguridad informática
Tendencias en seguridad informáticaTendencias en seguridad informática
Tendencias en seguridad informáticaKaspersky Lab
 

Similar a Smartphones: El enemigo en tu bolsillo (20)

Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)
 
Seguridad Informática
Seguridad Informática Seguridad Informática
Seguridad Informática
 
Internet Seguro
Internet SeguroInternet Seguro
Internet Seguro
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened Edition
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móviles
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Conspiración en la red
Conspiración en la redConspiración en la red
Conspiración en la red
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Apptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizanApptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizan
 
Malware en android
Malware en androidMalware en android
Malware en android
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01
 
Amenazas para los smartphones
Amenazas para los smartphonesAmenazas para los smartphones
Amenazas para los smartphones
 
Trabajo informatica
Trabajo informaticaTrabajo informatica
Trabajo informatica
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móviles
 
Consejos de seguridad
Consejos de seguridadConsejos de seguridad
Consejos de seguridad
 
Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11
 
Tendencias en seguridad informática
Tendencias en seguridad informáticaTendencias en seguridad informática
Tendencias en seguridad informática
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 

Último (10)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 

Smartphones: El enemigo en tu bolsillo

  • 1. *[Smartphones: El enemigo en tu bolsillo] Autor: Santiago Vicente E-mail: svicente@s21sec.com Fecha: 07/07/2011
  • 2. Smartphones: El enemigo en tu bolsillo © copyright S21sec 2011 La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización. Pág. 2
  • 3. Índice Introducción Evolución de los dispositivos Seguridad en Smartphones Mercado de aplicaciones Evolución del malware Casos en detalle • Gemini • ZitMo Nuevas funcionalidades y amenazas • Privacidad • Geolocalización • NFC Conclusión Pág. 3
  • 4. Introducción Pág. 4
  • 5. Introducción Pág. 5
  • 6. Evolución de los dispositivos Pág. 6
  • 7. ¿Qué es un smartphone? Pág. 7
  • 8. Evolución de los dispositivos Pág. 8
  • 9. Evolución de los dispositivos Pág. 9
  • 10. Evolución de los dispositivos Pág. 10
  • 11. Evolución de los dispositivos Pág. 11
  • 12. Evolución de los dispositivos Pág. 12
  • 14. Seguridad en Smartphones 5 Pilares: • Control de acceso • De donde provienen las aplicaciones • Cifrado • Aislamiento • Permisos Pág. 14
  • 16. Mercado de aplicaciones App Store de Apple Android Market Ovi Store de Nokia BlackBerry App World Windows Marketplace Pág. 16
  • 23. Evolución del malware Ikee.A • Primer código malicioso para iPhone • Ashley Towns, 21 años • Australia Pág. 23
  • 24. Evolución del malware Droid09 • Primer código malicioso en Android Market Android.FakePlayer Pág. 24
  • 25. No solo Malware… Pág. 25
  • 26. Vectores de infección Ingenieria social Mensajería: SMS-o-Death Bluetooth Warez apps (Black Markets) Pág. 26
  • 27. Vectores de infección Propagación mediante QRCODE Vulnerabilidades o configuraciones débiles El propio operador Pág. 27
  • 28. Vectores de infección Tú novi@, pareja, padre, madre, vecino…. Pág. 28
  • 29. Casos en detalle Pág. 29
  • 30. Gemini Distribución mediante juegos reempaquetados Convierte el terminal en un bot • Puede enviar SMS • Puede realizar llamadas • Puede descargar y ejecutar binarios • Requerirá aprobación de permisos • Comunica con un panel de control cada 5 minutos. • Admite comandos: • Contactlist • Sms • Call • Install • Location • Kill • … Pág. 30
  • 31. Gemini android.permission.INTERNET android.permission.ACCESS_COARSE_LOCATION android.permission.READ_PHONE_STATE android.permission.VIBRATE com.android.launcher.permission.INSTALL_SHORTCUT android.permission.ACCESS_FINE_LOCATION android.permission.CALL_PHONE android.permission.MOUNT_UNMOUNT_FILESYSTEMS android.permission.READ_CONTACTS android.permission.READ_SMS android.permission.SEND_SMS android.permission.SET_WALLPAPER android.permission.WRITE_CONTACTS android.permission.WRITE_EXTERNAL_STORAGE com.android.browser.permission.READ_HISTORY_BOOKMARKS com.android.browser.permission.WRITE_HISTORY_BOOKMARKS android.permission.ACCESS_GPS android.permission.ACCESS_LOCATION android.permission.RESTART_PACKAGES android.permission.RECEIVE_SMS android.permission.WRITE_SMS Pág. 31
  • 32. MitMo Infección del ordenador Robo de credenciales Transferencia fraudulenta Cash out Pág. 32
  • 33. MitMo Infección del ordenador Robo de credenciales Infección del móvil Robo OTP-SMS Transferencia fraudulenta Cash out Pág. 33
  • 34. MitMo Pág. 34
  • 35. MitMo Spoofed SMS Sender ID ID Token (importante!) Pág. 35
  • 36. MitMo Pág. 36
  • 37. MitMo BLOCK ON: Ignora llamadas BLOCK OFF: Deshabilita ignorar SET ADMIN: Cambia el número del C&C SMS ADD SENDER: Añade número a interceptar ADD SENDER ALL: Intercepta todos los SMS REM SENDER: Quita un número a interceptar REM SENDER ALL: Quita toda la interceptación SET SENDER: Actualiza información de un contacto Pág. 37
  • 38. MitMo CREDENCIALES ZEUS 0023424 : OTP (mTAN) COMANDOS MITMO Pág. 38
  • 39. MitMo Bloqueo del envío de SMS al SMS C&C desde todos los operadores Revocar el certificado de la aplicación móvil (Nokia) Alerta temprana e informes para clientes Compartición de binarios entre AV y empresas Búsqueda activa de otras plataformas (BlackBerry y Windows Mobile)
  • 40. Nuevas funcionalidades y amenazas Pág. 40
  • 41. Privacidad TaintDroid: • http://appanalysis.org/demo/index.html iPhone Privacy: • http://seriot.ch/resources/talks_papers/iPhonePri vacy.pdf Skype en Android: • http://blogs.skype.com/security/2011/04/privacy_ vulnerability_in_skype.html Pág. 41
  • 42. Geolocalización Pág. 42
  • 43. Geolocalización Geolocalización irresponsable: • http://www.hacktimes.com/geolocalizaci_n_desc ontrolada/ iPhone Location Tracking: No Geolocalización: • http://no-geolocation.blogspot.com/ Pág. 43
  • 44. NFC Pág. 44
  • 46. NFC Amenazas: • Pérdida • Man in The Middle • Ingeniería social • Suplantación Pág. 46
  • 47. Conclusión Pág. 47
  • 48. Conclusión Pág. 48
  • 49. Conclusión Puntos a tener en cuenta: • Seguridad física • Cifrado de datos • Autenticación • Safe browsing (exploits o phishing) • Sistema Operativo seguro • Sandboxing (permisos) • Privacidad • Malware • Actualizaciones y distribución de paquetes • Notificaciones Push • ¿Enterprise? Pág. 49
  • 50. Conclusión Concienciación!! • Mantener Software actualizado • Habilitar PIN o contraseña • Cifrado de información • Deshabilitar características no usadas • Bluetooth oculto y con contraseña • Desconfiar • Evitar redes Wi-fi no seguras Pág. 50
  • 51. *[ MUCHAS GRACIAS ] Santiago Vicente S21sec e-crime Analyst svicente@s21sec.com http://blog.s21sec.com Twitter: smvicente Pág. 51