Gestión de riesgo en dispositivos Android basada en eliminación de vulnerabilidades y detección de contextos

Abstract

En la actualidad, los smartphones se han convertido, en poco tiempo, en los dispositivos de comunicación más utilizados. Las diversas funcionalidades que ofrecen estos terminales implican la exposición y el acceso a una gran cantidad de información personal y confidencial por parte de las aplicaciones instaladas en ellos. Android se trata del sistema operativo móvil más utilizado. Sin embargo, al tratarse de un sistema joven, no cuenta aún con suficientes mecanismos para la mitigación del riesgo presente en él y sus aplicaciones. Asimismo, su configuración de seguridad se trata de una labor tediosa que conlleva la falta de implicación por parte del usuario. Este proyecto tiene como objetivo proporcionar un mayor control sobre los riesgos de seguridad en Android. Más concretamente, se pretende incrementar el conocimiento y el control sobre las posibles vulnerabilidades presentes en las aplicaciones, además de contribuir a la adaptabilidad automática de la seguridad del dispositivo en función de su entorno. El sistema implementado cuenta con un gestor de vulnerabilidades y un módulo de seguridad por contexto e interactúa con la NVD, repositorio público de vulnerabilidades software estadounidense y la API de Android, tras la evaluación de varias alternativas como posibles fuentes de información. En definitiva, se presenta el desarrollo de una aplicación que, basada completamente en herramientas libres de desarrollo, logra mitigar el riesgo presente en smartphones con sistema operativo Android y se sientan unas bases para, a partir de esta aplicación, continuar con la investigación y mejora de la seguridad en él.

In only a few years, smartphones have become one of the most commonly used communication devices due to their versatility. But all that different functionalities imply the access to a lot of personal and confidential information from the installed applications. Nowadays, Android is one of the most important mobile operative systems. However, due to its youth, there is a lack of risk mitigation mechanisms. Besides, its security configuration is tedious, which involves no implication of the user. This project pretends to provide a better control over security risks in Android. Its main is to increase the knowledge and control over possible vulnerabilities in applications and contribute to an automatic adaptable security device configuration depending on the environment the smartphone is in. The implemented system counts with a vulnerability manager and a context based security module, and it interacts with the NVD, U.S. government repository of software vulnerability data, and the Android’s API, after the evaluation of other alternatives as information sources. In conclusion, it is introduced an application that, based on free software development tools, contributes to mitigate risks in Android and that lays the foundations of new ideas for the security investigation on this operative system.