¿Qué riesgos de seguridad existen en la transferencia de datos de las aplicaciones de teléfonos celulares?

6

Las aplicaciones de teléfonos inteligentes transfieren varios tipos de datos a través de la red de datos del proveedor (o wifi, si está habilitado). ¿Qué riesgos de seguridad existen en esta transferencia y cómo se pueden mitigar los riesgos? No estoy hablando de la seguridad del teléfono celular en general, sino específicamente del área de transferencia de datos entre el teléfono y alguna otra fuente a través del teléfono celular o la red inalámbrica.

Editar: Perdón por la imprecisión, intentaré reducirla. Me pregunto específicamente sobre el canal utilizado para la transferencia de datos (ya sea la red inalámbrica del proveedor o un punto de acceso wifi). ¿Qué cifrado (si corresponde) se proporciona a través de estas redes, y qué tan común es que las aplicaciones cifren datos además de lo que proporciona el propio canal? Por ejemplo, ¿qué cifrado utiliza la aplicación de Facebook a través de una red wifi pública? ¿Qué pasa con una aplicación bancaria a través de la red de datos del proveedor? ¿Qué pasa con Gmail a través de una red inalámbrica segura WPA? etc.

    
pregunta jrdioko 06.07.2011 - 07:07
fuente

7 respuestas

4

Probablemente el problema más sencillo en cuanto a la seguridad es la transmisión de datos no cifrados. Por ejemplo, imagine que está utilizando la aplicación de Facebook a través de wifi. Sin embargo, usted no es el propietario de la puerta de enlace (es decir, el enrutador) o su puerta de enlace está comprometida. Si sus datos no están encriptados en tal escenario, su nombre de usuario / contraseña, su información personal o incluso la información personal de otras personas están a merced de alguien que está olfateando la red.

Por supuesto, Facebook puede considerarse como un riesgo de baja seguridad, pero la banca por Internet en los teléfonos inteligentes ya es posible y las aplicaciones no necesariamente cifran datos.

Otro problema es el propio portador. Muchos operadores siguen utilizando GSM. Los estándares criptográficos de GSM tienen más de 20 años. Las redes GSM no solo pueden ser hackeadas, sino que pueden convertirse en rehenes. Se han desarrollado nuevas implementaciones de GSM (también conocidas como 2G) (UMTS / 3G), pero también se han pirateado recientemente. Puede leer más sobre este aquí .

    
respondido por el Mike 06.07.2011 - 08:40
fuente
6

Tu pregunta es un poco vaga.

¿Qué datos transfieren los teléfonos inteligentes?

Depende. Puede estar bastante seguro de que los datos incluirán conversaciones telefónicas, mensajes SMS / MMS y correos electrónicos.

¿Qué datos se almacenan en un teléfono inteligente?

  • registros de llamadas (número de teléfono remoto, hora / fecha de inicio de la llamada, duración de la llamada, dirección [entrante / saliente], posiblemente el nombre del usuario remoto)
  • datos de SMS / MMS (fotos [hora / fecha, ubicación, potencialmente nombres de personas en las fotos])
  • datos de ubicación (hora / fecha con longitud de latitud)
  • fotos (ver SMS / MMS)
  • correos electrónicos (destinatarios, hora / fecha, servidor pop3, servidor smtp)
  • uso del sitio web (URL, datos del formulario, cookies, fecha y hora de la última visita)
  • contactos (números de teléfono, correo electrónico, dirección física, relaciones)
  • música (preferencias, frecuencia de escucha, etc.)

Potencialmente, cualquier dato almacenado en el teléfono inteligente podría ser transferido.

¿Desea que alguno de estos datos sea privado (confidencial)?

Si es así, entonces las transferencias que involucran estos datos deben protegerse, generalmente esto se realiza mediante encriptación. El riesgo de seguridad en este caso sería la exposición de datos confidenciales. La mitigación contra la exposición es cifrar sus datos y configurar controles de acceso para limitar el acceso a los datos.

¿Desea proteger alguno de estos datos de la modificación?

Los protocolos utilizados durante la transferencia de datos tienen la capacidad de modificar o eliminar sus datos. El riesgo de seguridad en este caso sería la pérdida de integridad de los datos (se modifica) o la pérdida de disponibilidad de los datos (se eliminan). La mitigación contra la pérdida de integridad es el uso de hashes criptográficos (lo que indicará si sus datos son tratados o no). La mitigación adicional puede ser códigos de corrección de errores que le permiten recuperar datos que se modifican. La mitigación contra la pérdida de disponibilidad es la copia de seguridad de los datos y el control de acceso configurado correctamente. La copia de seguridad puede restaurar la disponibilidad de los datos si se destruye, y el control de acceso puede limitar quién puede eliminar qué datos.

    
respondido por el this.josh 06.07.2011 - 09:24
fuente
3

Un problema que es particular, aunque no exclusivo, para los teléfonos inteligentes es la disponibilidad del propio enlace. Si tiene una asignación de ancho de banda restringida por parte de su operador de red móvil, una aplicación puede hacer todo el dispositivo fácilmente consumiendo toda la asignación.

Un problema relacionado es que es más probable que los servicios de datos de MNO se cobren en el punto de uso que las conexiones de wi-fi, y se cobren a tarifas mucho más altas. No es probable que los usuarios disfruten de los cargos por los datos utilizados por una aplicación de software de botnet o spyware.

    
respondido por el user185 06.07.2011 - 11:38
fuente
3

La respuesta varía según el protocolo inalámbrico que se esté utilizando.

Consulte ¿Puede obtener una ¿La aplicación web de FireSheep sin utilizar SSL? explica por qué debería usar SSL / TLS para proteger los datos confidenciales de todas estas malas implementaciones inalámbricas, así como las vulnerabilidades en las redes cableadas.

    
respondido por el nealmcb 15.08.2011 - 06:53
fuente
2

Los ataques al canal pueden ocurrir si la información no está encriptada, ya que es un medio de transmisión. Además, no tienes control de la antena, por lo que si pudiera verse comprometida, también podrías ser susceptible de ataque allí.

Solución: canal cifrado y autenticado. Y esto se aplica a WiFi o GSM: si no es su red, no confíe en ello; si lo es, asegúrelo contra otros y aún así protéjase.

La denegación de servicio también es un ataque muy probable, ya que cualquier comunicación inalámbrica es susceptible de interferencias.

Solución: no es mucho lo que puede hacer aquí si un atacante tiene una interferencia de alta potencia

    
respondido por el Rory Alsop 06.07.2011 - 09:06
fuente
1

Para agregar a las otras respuestas aquí, no olvide que la red de backhaul es al menos un problema tan grande como el enlace aéreo, si no más. Hubo una buena presentación en Shmoocon 2011 por Enno Rey de ERNW (que hace un montón de trabajo en esta área; grandes chicos por cierto) mostrando algunos de sus resultados en esta área.

Hay muchos lugares para que esto salga mal ... es mejor suponer que los servicios de datos celulares son equivalentes a la conexión wi-fi pública y se comportan en consecuencia.

    
respondido por el Steve Dispensa 15.08.2011 - 15:57
fuente
1

Los riesgos de seguridad que existen en las aplicaciones de teléfonos celulares en el proceso de transferencia de datos son exactamente los mismos que los riesgos asociados con, por ejemplo, la computadora portátil personal de una persona en el proceso de transferencia de datos. Muchas veces tendemos a pensar que los problemas relacionados con las aplicaciones móviles son demasiado diferentes porque es una red diferente.

Digamos, por ejemplo, que uno ha conectado su computadora portátil para navegar por Facebook o GMAIL utilizando la red WIFI abierta o una red corporativa. Los riesgos asociados son los mismos en comparación con la comunicación de aplicaciones móviles. Alguien en la red corporativa o en una red WIFI abierta puede detectar los datos que se están transmitiendo. En lo que respecta a los sitios bancarios, es difícil de creer hoy en día si existe algún inicio de sesión en el portal bancario donde la sesión completa no tenga cifrado SSL habilitado. De hecho, GMAIL ahora admite la sesión completa registrada sobre SSL. Google también ha extendido lo mismo para el motor de búsqueda utilizando enlace

Es posible que la aplicación de Facebook o la aplicación GMAIL ni siquiera sepan qué tipo de conexión a Internet está en uso. Por ejemplo, si la aplicación es una aplicación J2ME, la aplicación no tiene API expuesta para determinar el modo de conexión a Internet. En Blackberry las aplicaciones pueden saberlo. En Android y iPhone podría ser posible.

En la comunicación normal del mundo con PC, confiamos en SSL, por lo que también se debe implementar en aplicaciones móviles. Por lo tanto, no hay diferencia.

El riesgo asociado con las aplicaciones móviles en mi opinión son aplicaciones de terceros como las que se proporcionan con las que puede realizar Facebook o revisar sus correos. Pueden tener el código o malware incorrecto que podría estar exponiendo sus datos a otros servidores. Por lo tanto, todo depende del factor de confianza que tenemos con el proveedor de software.

De hecho, de alguna manera, las aplicaciones móviles están protegidas en comparación con las sesiones del navegador como en las aplicaciones móviles, se pueden imponer reglas estrictas en cuanto a qué certificado de servidor se aceptará en el proceso de protocolo de enlace SSL que, en condiciones normales, en el mundo de la PC podría verse comprometido Man in mid attack confundiendo al usuario final con el certificado Spook y un sitio web similar.

    
respondido por el Mohit Sethi 22.06.2012 - 12:53
fuente

Lea otras preguntas en las etiquetas