Propuesta de procedimiento para el análisis de seguridad de aplicaciones Android
Professor Advisor
dc.contributor.advisor
Hevia Angulo, Alejandro
Author
dc.contributor.author
Pinto Riveros, Jorge Fernando
Associate professor
dc.contributor.other
Gutiérrez Figueroa, Francisco
Associate professor
dc.contributor.other
Barros Arancibia, Tomás
Admission date
dc.date.accessioned
2023-04-11T20:53:17Z
Available date
dc.date.available
2023-04-11T20:53:17Z
Publication date
dc.date.issued
2022
Identifier
dc.identifier.uri
https://repositorio.uchile.cl/handle/2250/192674
Abstract
dc.description.abstract
Actualmente en el mundo hay más de 5.000 millones de dispositivos móviles, y prácticamente todas las personas con las que compartimos a diario tienen un celular. Estos aparatos han cambiado la forma en la que vivimos, ya que han repercutido en gran parte de las acciones que realizamos a diario.
Para el caso de los dispositivos Android, donde cualquier persona u organización puede crear aplicación y subirla a una plataforma de distribución de aplicaciones. Bancos, supermercados, AFP, redes sociales, estaciones televisivas, generan habitualmente aplicaciones.
Las aplicaciones no siempre son totalmente totalmente seguras. El sitio CVE tiene documentadas mas de 4.000 vulnerabilidades encontradas en dispositivos Android. Por lo tanto, es recomendado siempre realizar pruebas de seguridad a las aplicaciones, sobre todo, a las aplicaciones que manejen datos sensibles de sus usuarios.
El objetivo principal de este trabajo es diseñar una estrategia de análisis de vulnerabilidades para aplicaciones Android y utilizar esta estrategia para analizar una aplicación especifica.
Para lograr lo anterior, el trabajo contempló un estudio del sistema operativo Android y de sus aplicaciones, posteriormente se estudiaron un conjunto de tipos de vulnerabilidades, para finalmente determinar las mejores herramientas para la identificación de vulnerabilidades. En base a lo anterior se diseñó una metodología replicable de técnicas y procedimientos para realizar el análisis a las aplicaciones.
Esta metodología consiste en hacer ingeniería inversa de la aplicación, luego a través del código fuente, hacer una análisis general de la aplicación (por ejemplo. su versión, si utiliza algún framework, entre otras). Posteriormente analizar los componentes más relevantes de la aplicación, estudiar las conexiones de la aplicación en base a los paquetes enviados y recibidos, y finalmente estudiar algunas particularidades descubiertas durante todo el proceso anterior.
Posteriormente se analizó la aplicación de la AFP Modelo. En el análisis de esta aplicación se descubrieron vulnerabilidades interesantes, por ejemplo se descubrió el token de acceso a una base de datos, que un componente WebView se podía utilizar de manera abusiva, que la aplicación no contaba con SSL Pinning, entre otras vulnerabilidades.
es_ES
Lenguage
dc.language.iso
es
es_ES
Publisher
dc.publisher
Universidad de Chile
es_ES
Type of license
dc.rights
Attribution-NonCommercial-NoDerivs 3.0 United States