En el día ayer asistimos a la charla “Modification to the android operating system's resource control” dictada por Ayelén Chávez y Joaquín Rinaudo, como tesis para su carrera de ciencias de la computación.
¿En qué consiste su proyecto?
Tal como es conocido, las aplicaciones en Android requieren ciertos permisos para poder ejecutarse. Dichos permisos están implementados como mecanismo de seguridad y permite conocer de antemano que recursos necesita la aplicación.
Bajo esta premisa, Ayelén y Joaquín presentaron una aplicación nombrada ASA (alegaron que necesitan otro nombre y aceptan sugerencias) que permite acceder a un subconjunto de las funcionalidades o información a los cuales una aplicación accede a partir de la aprobación del permiso correspondiente.
En un primer intento, Ayelén y Joaquín intentaron modificar los recursos para entregar información en blanco. Un ejemplo claro es aquel donde una aplicación que requiere acceso a una fotografía, se le brinda una en blanco. Sin embargo, esto no es una buena alternativa, ya que perdería la funcionalidad final de aplicación.
Debido a esto, recurrieron a la posibilidad de brindar la información siendo posible que el usuario no exponga toda su información a una aplicación determinada. El ejemplo utilizado durante la demostración fue la limitación de la cantidad de contactos a los que podía acceder WhatsApp. Específicamente, solo permitieron que la mencionada aplicación de mensajería instantánea accediera a tres contactos en particular e ignorar el resto que se encontraban almacenados en la agenda de contacto.
Otra de las funcionalidades que provee “ASA” es la capacidad de limitar las redes WiFi a las que podían acceder las aplicaciones instaladas en el dispositivo. De esta forma, si un usuario desea que una determinada aplicación no reconozca cierta red WiFi en particular, con ASA es posible realizar esta tarea.
En futuras versiones, Ayelén y Joaquín piensan agregar dos módulos más que permitirían limitar el acceso a la SDCard (tarjeta de memoria utilizada en los teléfonos) por carpetas y brindar la posibilidad de establecer una cierta ubicación engañando al GPS del dispositivo.
Claramente, la ekoparty mostró en el día de ayer charlas muy interesantes. Particularmente, la demostración de ASA justificó cómo dos estudiantes de Ciencias de la Computación de la Universidad de Buenos Aires pudieron modificar el comportamiento del sistema operativo Android para agregarle la posibilidad de implementar mejoras en materia de seguridad. El concepto de que un usuario pueda controlar a que información puede acceder una determinada aplicación es de vital importancia ya que le brinda a esta persona la capacidad de poder limitar el contenido y elevar el nivel de seguridad de su dispositivo.
Finalmente, recomendamos la lectura de nuestro post "Voto electrónico, ataques a BIOS y control granular de permisos en Android" donde resumimos lo que fue la jornada completa del jueves. Durante el día de hoy seguiremos cubriendo la conferencia ekoparty para informarlos de las charlas más novedosas de la región.
¡Estén atentos!
Fernando Catoira
Analista de Seguridad