jueves, 7 de noviembre de 2013

Las mejoras de seguridad en Android 4.4


Todos sabemos que Android 4.4, viene cargada de novedades, muchas de ellas visibles pero hay otras que vienen en su interior que mejoran para proteger al usuario, os hablamos de los mejoras de seguridad.
Estas mejoras corrigen los bugs detectados en anteriores informes de seguridad, incluso mejoran el sistema para complicar la introducción a las distintas capas de seguridad. Os describimos los siguientes:

SELinux en Enforce Mode

SELinux fue introducido en la versión 4.3 como un sistema de control para acceder al núcleo de linux para evitar ataques de escalado de privilegios, este sistema esta en modo permisivo y se cambia en esta nueva versión a enforcing mode.

Soporte de claves de cifrado de curva elíptica (ECDSA) en 

AndroidKeyStore

Aunque este tipo de cifrado ha sido criticado, se incluye en el almacén de contraseñas de Android, dando soporte para claves de firma de Curva Elíptica. Es una alternativa para los desarrolladores pero la sigue siendo la mejor opción para un almacenamiento de datos a largo plazo la selección de cifrado simétrico.

Avisos de Cifrados sospechosos SSL CA

Android 4.4 incluye una clave CA adicional (Certificado de Autoría), que nos avisará si nuestro dispositivo recibe algún certificado SSL CA sospechoso.

Detección automática de desbordamiento de pila

La nueva versión de Android esta compilado FORTIFY_SOURCE a nivel 2, lo que nos asegura que todo el código esta compilado con esta protección. Dicha característica del compilador identifica oportunidades de overflow que pueden ser explotadas por cualquier aplicación, este sistema no elimina esos agujeros pero seguramente en la próxima versión solucionen este tipo de agujeros. Creo que mas bien quieren recoger un informe de errores para poder encontrar una solución mas adelante. Algo es algo.

Google Certificate Pinning

Este certificado nos permite ejecutar certificados SSL que serán recogidos en una lista de manera de los que no estuvieran denegarían ese acceso. Este sistema evita ataques de tipo man-in-the-middle a la hora de aceptar un certificado válido SSL CA, dotando así de una doble seguridad haciendo más difícil la tarea.


www.asociacionaepi.es
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)