banner

ENISA: Appstore Security: 5 líneas de defensa contra el Malware

ENISA ha publicado un informe en el que avanza cuales van a ser las futuras líneas defensivas contra el Malware en las App Store o tiendas virtuales de aplicaciones.

ENISA -the European Network and Information Security Agency, working for the EU Institutions and Member States. ENISA is the EU’s response to these cyber security issues of the European Union.

Personalmente creo que las 5 líneas de defensa que presenta ENISA en este documento son esenciales para conseguir establecer las bases de la Seguridad en las aplicaciones de los móviles inteligentes con conexión a Internet. Aunque yo me he permitido el lujo de incluir una 6 línea de actuación.

El informe analiza el ecosistema de las aplicaciones en los teléfonos móviles inteligentes (smartphones) estableciendo e identificando 5 líneas de defensa y protección de los usuarios contra la amenaza del malware y de las aplicaciones maliciosas, que las tiendas de aplicaciones, Apple Appstore or Android Market entre otras, deberán afrontar.


Líneas de defensa

1. Control de las aplicaciones: Las tiendas deberán ejercer un mayor control de las aplicaciones, realizando revisiones exhaustivas antes de admitirlas para ser distribuidas en la Appstore. En este sentido, ENISA apuesta por el control de las aplicaciones mediante la utilización de mecanismo automáticos como son las herramientas de análisis de código (dinámico y estático). Adicionalmente se podrá llevar a cabo un análisis manual a cabo esta labor.

2. Medidores de reputación: Incluir en las Appstore (tiendas de aplicaciones) el mecanismo para medir la reputación de un desarrollador y de esta forma ayudar a los usuarios a determinar qué aplicación esta mejor valorada no solo por los comentarios, sino por la reputación que tenga el desarrollador de la misma. Además, ENISA apuesta por la separación la valoración de los usuarios sobre la aplicación en al menos 3 áreas: Funcionalidad, Seguridad y Privacidad. De forma que exista una total transparencia para los usuarios en los relativo a la protección y seguridad de los datos que van a manejar.

3. Mecanismo de revocación: Las tiendas de aplicaciones deberían de tener la posibilidad de eliminar remotamente las aplicaciones que han sido revocadas (expulsadas de la tienda). De esta forma, si una aplicación es detectada como maliciosas, y ha sido expulsada de la tienda, automáticamente se le enviaría un aviso a los usuarios que la tuvieran instalada para su desinstalación inmediata.

4. Seguridad en la ejecución: Además de aplicar controles exhaustivos en las tiendas de aplicación, los terminales móviles deberían de implementar mecanismos de protección durante la ejecución de las aplicaciones.Por ejemplo, ejecutar la aplicación en un entorno virtual con permisos restringidos y monitorizados, es lo que se conoce como Sandbox.

5. Jails (Entornos controlados): Establecer en los dispositivos móviles mecanismos para la autorización de las aplicaciones (firmadas por las Appstores) de forma que no puedan instalarse aplicaciones no autorizadas. !Esto ya existe en los actuales teléfonos, móviles por lo que se entiende que anima a los fabricante a seguir con este esquema de protección del usuario¡.

La sexta es de cosecha propia:

6. Gestión de Permisos por aplicación:  Antes de la instalación de las aplicaciones o después, establecer un sistema de permisos, que permita controlar el grado de acceso y autorización sobre cada aplicación. Por ejemplo: poder restringir el acceso, en una aplicación ya instalada, a los datos de los contactos, números de teléfono, Internet o archivos del disco (limitándolo a su propia carpeta), entendiendo que dicha aplicación no tiene porque acceder a dicha información.

Personalmente, creo que todavía esta inmaduro la seguridad en los teléfonos móviles, y queda camino por recorrer. Pero iniciativas como estas hacen que el camino por andar sea más llevadero.

Descarga:

Fuentes: CCN-CERT y CSIRT-cv

No hay comentarios :

Publicar un comentario