Auditoría de seguridad de aplicaciones móviles

Abstract

El presente trabajo fin de máster busca proporcionar las pautas en el proceso de auditoría de seguridad de las aplicaciones móviles, de acuerdo con el reciente estándar de Verificación de Seguridad de Aplicaciones Móviles publicado por OWASP como un marco de requisitos de seguridad necesarios para diseñar, desarrollar y probar aplicaciones móviles seguras. Para ello en primer lugar, se llevará a cabo un estudio de la situación actual respecto a las vulnerabilidades y vectores de amenazas más representativos en las aplicaciones móviles, puesto que el malware móvil ha experimentado en los últimos años un rápido crecimiento debido a que la mayoría de los dispositivos disponen de acceso a datos sensibles y demás información del usuario como la localización, contactos, imágenes, etc. Se presentarán las distintas metodologías para la elaboración de auditorías de aplicaciones móviles y las herramientas de análisis disponibles actualmente y se procederá a proponer una metodología a seguir para la realización de dichas auditorías. Finalmente se llevará a cabo el análisis de una aplicación Android, de acuerdo con las recomendaciones proporcionadas en los anteriores apartados para la realización de una correcta auditoría de seguridad y se presentarán los resultados obtenidos.

The current Master's Thesis aims to provide the guidelines in the process of the audits in security for mobile applications, according the recent published standard of security verification of mobile applications, by OWASP, as a framework of security requisites for designing, developing and testing of secure mobile applications. First, a study of the current situation regarding the more representative vulnerabilities and thread vectors will be carried out, as the mobile malware has experienced a high growth in the recent years, due to most of the mobile devices have access to sensitive data and other user information such as location, contacts, images, etc. The different existing methodologies for mobile application audits will be presented, as well as the available analysis tools, and a selected methodology will be proposed for the execution of such audits. Finally, according the provided guidelines in this document, the complete analysis of one selected Android application for its study will be performed, serving as an example of the execution of a right security audit. All the achieved results will be also presented at the end of this thesis as conclusion and future lines of work.

El present treball fi de màster busca proporcionar les pautes en el procés d'auditoria de seguretat de les aplicacions mòbils, d'acord amb el recent estàndard de verificació de Seguretat d'Aplicacions Mòbils publicat per OWASP com un marc de requisits de seguretat necessaris per dissenyar, desenvolupar i provar aplicacions mòbils segures. Per això en primer lloc, es durà a terme un estudi de la situació actual respecte a les vulnerabilitats i vectors d'amenaces més representatius en les aplicacions mòbils, ja que el malware mòbil ha experimentat en els últims anys un ràpid creixement a causa de que la majoria dels dispositius disposen d'accés a dades sensibles i altra informació de l'usuari com la localització, contactes, imatges, etc. Es presentaran les diferents metodologies per a l'elaboració d'auditories d'aplicacions mòbils i les eines d'anàlisi disponibles actualment i es procedirà a proposar una metodologia a seguir per a la realització d'aquestes auditories. Finalment es durà a terme l'anàlisi d'una aplicació Android, d'acord amb les recomanacions proporcionades en els anteriors apartats per a la realització d'una correcta auditoria de seguretat i es presentaran els resultats obtinguts.