SlideShare una empresa de Scribd logo

Smartphones: El enemigo en tu bolsillo

Santiago Vicente
Santiago Vicente
Tecnología
1 de 51
*[Smartphones: El enemigo en tu bolsillo] Autor: Santiago Vicente E-mail: svicente@s21sec.com Fecha: 07/07/2011
Smartphones: El enemigo en tu bolsillo © copyright S21sec 2011 La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización. Pág. 2
Índice Introducción Evolución de los dispositivos Seguridad en Smartphones Mercado de aplicaciones Evolución del malware Casos en detalle • Gemini • ZitMo Nuevas funcionalidades y amenazas • Privacidad • Geolocalización • NFC Conclusión Pág. 3
Introducción Pág. 4
Introducción Pág. 5
Evolución de los dispositivos Pág. 6
¿Qué es un smartphone? Pág. 7
Evolución de los dispositivos Pág. 8
Evolución de los dispositivos Pág. 9
Evolución de los dispositivos Pág. 10
Evolución de los dispositivos Pág. 11
Evolución de los dispositivos Pág. 12
Seguridad en Smartphones Pág. 13
Seguridad en Smartphones 5 Pilares: • Control de acceso • De donde provienen las aplicaciones • Cifrado • Aislamiento • Permisos Pág. 14
Mercado de aplicaciones Pág. 15
Mercado de aplicaciones App Store de Apple Android Market Ovi Store de Nokia BlackBerry App World Windows Marketplace Pág. 16
Mercado de aplicaciones Pág. 17
Mercado de aplicaciones Pág. 18
Evolución del malware Pág. 19
Evolución del malware Pág. 20
Evolución del malware Pág. 21
Evolución del malware Pág. 22
Evolución del malware Ikee.A • Primer código malicioso para iPhone • Ashley Towns, 21 años • Australia Pág. 23
Evolución del malware Droid09 • Primer código malicioso en Android Market Android.FakePlayer Pág. 24
No solo Malware… Pág. 25
Vectores de infección Ingenieria social Mensajería: SMS-o-Death Bluetooth Warez apps (Black Markets) Pág. 26
Vectores de infección Propagación mediante QRCODE Vulnerabilidades o configuraciones débiles El propio operador Pág. 27
Vectores de infección Tú novi@, pareja, padre, madre, vecino…. Pág. 28
Casos en detalle Pág. 29
Gemini Distribución mediante juegos reempaquetados Convierte el terminal en un bot • Puede enviar SMS • Puede realizar llamadas • Puede descargar y ejecutar binarios • Requerirá aprobación de permisos • Comunica con un panel de control cada 5 minutos. • Admite comandos: • Contactlist • Sms • Call • Install • Location • Kill • … Pág. 30
Gemini android.permission.INTERNET android.permission.ACCESS_COARSE_LOCATION android.permission.READ_PHONE_STATE android.permission.VIBRATE com.android.launcher.permission.INSTALL_SHORTCUT android.permission.ACCESS_FINE_LOCATION android.permission.CALL_PHONE android.permission.MOUNT_UNMOUNT_FILESYSTEMS android.permission.READ_CONTACTS android.permission.READ_SMS android.permission.SEND_SMS android.permission.SET_WALLPAPER android.permission.WRITE_CONTACTS android.permission.WRITE_EXTERNAL_STORAGE com.android.browser.permission.READ_HISTORY_BOOKMARKS com.android.browser.permission.WRITE_HISTORY_BOOKMARKS android.permission.ACCESS_GPS android.permission.ACCESS_LOCATION android.permission.RESTART_PACKAGES android.permission.RECEIVE_SMS android.permission.WRITE_SMS Pág. 31
MitMo Infección del ordenador Robo de credenciales Transferencia fraudulenta Cash out Pág. 32
MitMo Infección del ordenador Robo de credenciales Infección del móvil Robo OTP-SMS Transferencia fraudulenta Cash out Pág. 33
MitMo Pág. 34
MitMo Spoofed SMS Sender ID ID Token (importante!) Pág. 35
MitMo Pág. 36
MitMo BLOCK ON: Ignora llamadas BLOCK OFF: Deshabilita ignorar SET ADMIN: Cambia el número del C&C SMS ADD SENDER: Añade número a interceptar ADD SENDER ALL: Intercepta todos los SMS REM SENDER: Quita un número a interceptar REM SENDER ALL: Quita toda la interceptación SET SENDER: Actualiza información de un contacto Pág. 37
MitMo CREDENCIALES ZEUS 0023424 : OTP (mTAN) COMANDOS MITMO Pág. 38
MitMo Bloqueo del envío de SMS al SMS C&C desde todos los operadores Revocar el certificado de la aplicación móvil (Nokia) Alerta temprana e informes para clientes Compartición de binarios entre AV y empresas Búsqueda activa de otras plataformas (BlackBerry y Windows Mobile)
Nuevas funcionalidades y amenazas Pág. 40
Privacidad TaintDroid: • http://appanalysis.org/demo/index.html iPhone Privacy: • http://seriot.ch/resources/talks_papers/iPhonePri vacy.pdf Skype en Android: • http://blogs.skype.com/security/2011/04/privacy_ vulnerability_in_skype.html Pág. 41
Geolocalización Pág. 42
Geolocalización Geolocalización irresponsable: • http://www.hacktimes.com/geolocalizaci_n_desc ontrolada/ iPhone Location Tracking: No Geolocalización: • http://no-geolocation.blogspot.com/ Pág. 43
NFC Pág. 44
NFC Identificación Smartposters: Pág. 45
NFC Amenazas: • Pérdida • Man in The Middle • Ingeniería social • Suplantación Pág. 46
Conclusión Pág. 47
Conclusión Pág. 48
Conclusión Puntos a tener en cuenta: • Seguridad física • Cifrado de datos • Autenticación • Safe browsing (exploits o phishing) • Sistema Operativo seguro • Sandboxing (permisos) • Privacidad • Malware • Actualizaciones y distribución de paquetes • Notificaciones Push • ¿Enterprise? Pág. 49
Conclusión Concienciación!! • Mantener Software actualizado • Habilitar PIN o contraseña • Cifrado de información • Deshabilitar características no usadas • Bluetooth oculto y con contraseña • Desconfiar • Evitar redes Wi-fi no seguras Pág. 50
*[ MUCHAS GRACIAS ] Santiago Vicente S21sec e-crime Analyst svicente@s21sec.com http://blog.s21sec.com Twitter: smvicente Pág. 51

Recomendados

Test
TestTest
TestJosemOrtizzamora
 
Suandy vargas 11 03
Suandy vargas 11 03Suandy vargas 11 03
Suandy vargas 11 03suandy vargas
 
Mis aparatos
Mis aparatos Mis aparatos
Mis aparatos albertobotmen
 
Bachillerato oficial emiliano zapata
Bachillerato oficial emiliano zapata Bachillerato oficial emiliano zapata
Bachillerato oficial emiliano zapata Luis lira
 
Zeus-R-uS
Zeus-R-uSZeus-R-uS
Zeus-R-uSSantiago Vicente
 
NFC: funcionamiento, usos e implicaciones en seguridad
NFC: funcionamiento, usos e implicaciones en seguridadNFC: funcionamiento, usos e implicaciones en seguridad
NFC: funcionamiento, usos e implicaciones en seguridadSantiago Vicente
 
Tecnología NFC
Tecnología NFCTecnología NFC
Tecnología NFCNFC Blog
 
NFC ¿ Qué es y qué podemos hacer con él ?
NFC ¿ Qué es y qué podemos hacer con él ?NFC ¿ Qué es y qué podemos hacer con él ?
NFC ¿ Qué es y qué podemos hacer con él ?Carlos Toxtli
 

Recomendados

Test
TestTest
TestJosemOrtizzamora
 
Suandy vargas 11 03
Suandy vargas 11 03Suandy vargas 11 03
Suandy vargas 11 03suandy vargas
 
Mis aparatos
Mis aparatos Mis aparatos
Mis aparatos albertobotmen
 
Bachillerato oficial emiliano zapata
Bachillerato oficial emiliano zapata Bachillerato oficial emiliano zapata
Bachillerato oficial emiliano zapata Luis lira
 
Zeus-R-uS
Zeus-R-uSZeus-R-uS
Zeus-R-uSSantiago Vicente
 
NFC: funcionamiento, usos e implicaciones en seguridad
NFC: funcionamiento, usos e implicaciones en seguridadNFC: funcionamiento, usos e implicaciones en seguridad
NFC: funcionamiento, usos e implicaciones en seguridadSantiago Vicente
 
Tecnología NFC
Tecnología NFCTecnología NFC
Tecnología NFCNFC Blog
 
NFC ¿ Qué es y qué podemos hacer con él ?
NFC ¿ Qué es y qué podemos hacer con él ?NFC ¿ Qué es y qué podemos hacer con él ?
NFC ¿ Qué es y qué podemos hacer con él ?Carlos Toxtli
 
Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Dylan Irzi
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Seguridad Informática
Seguridad Informática Seguridad Informática
Seguridad Informática Ciudad Educativa
 
Internet Seguro
Internet SeguroInternet Seguro
Internet SeguroCiudad Educativa
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móvilesEventos Creativos
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Conspiración en la red
Conspiración en la redConspiración en la red
Conspiración en la redCarlos Mesa
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionChristian404806
 
Apptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizanApptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizanapps4citizens
 
Malware en android
Malware en androidMalware en android
Malware en androidEventos Creativos
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Cristian Borghello
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Eventos Creativos
 
Amenazas para los smartphones
Amenazas para los smartphonesAmenazas para los smartphones
Amenazas para los smartphonesWilliam Henry Vegazo Muro
 
Trabajo informatica
Trabajo informaticaTrabajo informatica
Trabajo informaticamartambgm
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesGissim
 
Consejos de seguridad
Consejos de seguridadConsejos de seguridad
Consejos de seguridadJuan Pedro Guardia González
 
Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11Consorcio IdenTIC
 
Tendencias en seguridad informática
Tendencias en seguridad informáticaTendencias en seguridad informática
Tendencias en seguridad informáticaKaspersky Lab
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 

Más contenido relacionado

Similar a Smartphones: El enemigo en tu bolsillo

Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Dylan Irzi
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móvilesEventos Creativos
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Conspiración en la red
Conspiración en la redConspiración en la red
Conspiración en la redCarlos Mesa
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionChristian404806
 
Apptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizanApptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizanapps4citizens
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Cristian Borghello
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Eventos Creativos
 
Trabajo informatica
Trabajo informaticaTrabajo informatica
Trabajo informaticamartambgm
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesGissim
 
Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11Consorcio IdenTIC
 
Tendencias en seguridad informática
Tendencias en seguridad informáticaTendencias en seguridad informática
Tendencias en seguridad informáticaKaspersky Lab
 

Similar a Smartphones: El enemigo en tu bolsillo (20)

Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)
 
Seguridad Informática
Seguridad Informática Seguridad Informática
Seguridad Informática
 
Internet Seguro
Internet SeguroInternet Seguro
Internet Seguro
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened Edition
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móviles
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Conspiración en la red
Conspiración en la redConspiración en la red
Conspiración en la red
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Apptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizanApptivismo: aplicaciones que movilizan
Apptivismo: aplicaciones que movilizan
 
Malware en android
Malware en androidMalware en android
Malware en android
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01
 
Amenazas para los smartphones
Amenazas para los smartphonesAmenazas para los smartphones
Amenazas para los smartphones
 
Trabajo informatica
Trabajo informaticaTrabajo informatica
Trabajo informatica
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móviles
 
Consejos de seguridad
Consejos de seguridadConsejos de seguridad
Consejos de seguridad
 
Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11Mobbeel kick off meeting 20/10/11
Mobbeel kick off meeting 20/10/11
 
Tendencias en seguridad informática
Tendencias en seguridad informáticaTendencias en seguridad informática
Tendencias en seguridad informática
 

Último

Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfsharitcalderon04
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 

Último (20)

Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdf
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 

Smartphones: El enemigo en tu bolsillo

  • 1. *[Smartphones: El enemigo en tu bolsillo] Autor: Santiago Vicente E-mail: svicente@s21sec.com Fecha: 07/07/2011
  • 2. Smartphones: El enemigo en tu bolsillo © copyright S21sec 2011 La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización. Pág. 2
  • 3. Índice Introducción Evolución de los dispositivos Seguridad en Smartphones Mercado de aplicaciones Evolución del malware Casos en detalle • Gemini • ZitMo Nuevas funcionalidades y amenazas • Privacidad • Geolocalización • NFC Conclusión Pág. 3
  • 4. Introducción Pág. 4
  • 5. Introducción Pág. 5
  • 6. Evolución de los dispositivos Pág. 6
  • 7. ¿Qué es un smartphone? Pág. 7
  • 8. Evolución de los dispositivos Pág. 8
  • 9. Evolución de los dispositivos Pág. 9
  • 10. Evolución de los dispositivos Pág. 10
  • 11. Evolución de los dispositivos Pág. 11
  • 12. Evolución de los dispositivos Pág. 12
  • 14. Seguridad en Smartphones 5 Pilares: • Control de acceso • De donde provienen las aplicaciones • Cifrado • Aislamiento • Permisos Pág. 14
  • 16. Mercado de aplicaciones App Store de Apple Android Market Ovi Store de Nokia BlackBerry App World Windows Marketplace Pág. 16
  • 23. Evolución del malware Ikee.A • Primer código malicioso para iPhone • Ashley Towns, 21 años • Australia Pág. 23
  • 24. Evolución del malware Droid09 • Primer código malicioso en Android Market Android.FakePlayer Pág. 24
  • 25. No solo Malware… Pág. 25
  • 26. Vectores de infección Ingenieria social Mensajería: SMS-o-Death Bluetooth Warez apps (Black Markets) Pág. 26
  • 27. Vectores de infección Propagación mediante QRCODE Vulnerabilidades o configuraciones débiles El propio operador Pág. 27
  • 28. Vectores de infección Tú novi@, pareja, padre, madre, vecino…. Pág. 28
  • 29. Casos en detalle Pág. 29
  • 30. Gemini Distribución mediante juegos reempaquetados Convierte el terminal en un bot • Puede enviar SMS • Puede realizar llamadas • Puede descargar y ejecutar binarios • Requerirá aprobación de permisos • Comunica con un panel de control cada 5 minutos. • Admite comandos: • Contactlist • Sms • Call • Install • Location • Kill • … Pág. 30
  • 31. Gemini android.permission.INTERNET android.permission.ACCESS_COARSE_LOCATION android.permission.READ_PHONE_STATE android.permission.VIBRATE com.android.launcher.permission.INSTALL_SHORTCUT android.permission.ACCESS_FINE_LOCATION android.permission.CALL_PHONE android.permission.MOUNT_UNMOUNT_FILESYSTEMS android.permission.READ_CONTACTS android.permission.READ_SMS android.permission.SEND_SMS android.permission.SET_WALLPAPER android.permission.WRITE_CONTACTS android.permission.WRITE_EXTERNAL_STORAGE com.android.browser.permission.READ_HISTORY_BOOKMARKS com.android.browser.permission.WRITE_HISTORY_BOOKMARKS android.permission.ACCESS_GPS android.permission.ACCESS_LOCATION android.permission.RESTART_PACKAGES android.permission.RECEIVE_SMS android.permission.WRITE_SMS Pág. 31
  • 32. MitMo Infección del ordenador Robo de credenciales Transferencia fraudulenta Cash out Pág. 32
  • 33. MitMo Infección del ordenador Robo de credenciales Infección del móvil Robo OTP-SMS Transferencia fraudulenta Cash out Pág. 33
  • 34. MitMo Pág. 34
  • 35. MitMo Spoofed SMS Sender ID ID Token (importante!) Pág. 35
  • 36. MitMo Pág. 36
  • 37. MitMo BLOCK ON: Ignora llamadas BLOCK OFF: Deshabilita ignorar SET ADMIN: Cambia el número del C&C SMS ADD SENDER: Añade número a interceptar ADD SENDER ALL: Intercepta todos los SMS REM SENDER: Quita un número a interceptar REM SENDER ALL: Quita toda la interceptación SET SENDER: Actualiza información de un contacto Pág. 37
  • 38. MitMo CREDENCIALES ZEUS 0023424 : OTP (mTAN) COMANDOS MITMO Pág. 38
  • 39. MitMo Bloqueo del envío de SMS al SMS C&C desde todos los operadores Revocar el certificado de la aplicación móvil (Nokia) Alerta temprana e informes para clientes Compartición de binarios entre AV y empresas Búsqueda activa de otras plataformas (BlackBerry y Windows Mobile)
  • 40. Nuevas funcionalidades y amenazas Pág. 40
  • 41. Privacidad TaintDroid: • http://appanalysis.org/demo/index.html iPhone Privacy: • http://seriot.ch/resources/talks_papers/iPhonePri vacy.pdf Skype en Android: • http://blogs.skype.com/security/2011/04/privacy_ vulnerability_in_skype.html Pág. 41
  • 42. Geolocalización Pág. 42
  • 43. Geolocalización Geolocalización irresponsable: • http://www.hacktimes.com/geolocalizaci_n_desc ontrolada/ iPhone Location Tracking: No Geolocalización: • http://no-geolocation.blogspot.com/ Pág. 43
  • 44. NFC Pág. 44
  • 46. NFC Amenazas: • Pérdida • Man in The Middle • Ingeniería social • Suplantación Pág. 46
  • 47. Conclusión Pág. 47
  • 48. Conclusión Pág. 48
  • 49. Conclusión Puntos a tener en cuenta: • Seguridad física • Cifrado de datos • Autenticación • Safe browsing (exploits o phishing) • Sistema Operativo seguro • Sandboxing (permisos) • Privacidad • Malware • Actualizaciones y distribución de paquetes • Notificaciones Push • ¿Enterprise? Pág. 49
  • 50. Conclusión Concienciación!! • Mantener Software actualizado • Habilitar PIN o contraseña • Cifrado de información • Deshabilitar características no usadas • Bluetooth oculto y con contraseña • Desconfiar • Evitar redes Wi-fi no seguras Pág. 50
  • 51. *[ MUCHAS GRACIAS ] Santiago Vicente S21sec e-crime Analyst svicente@s21sec.com http://blog.s21sec.com Twitter: smvicente Pág. 51