En nuestra presentación en Navaja Negra 2024 explicamos la diferencia entre permisos y grupos en el modelo de seguridad Android, presentamos la métrica que utilizamos en nuestra aplicación APKFalcon y cómo aprovechamos la información sobre permisos, grupos y el uso por el malware de los permisos para construir indicadores. Además mostramos el repositorio donde almacenamos los datos que utilizamos para hacer estos cálculos y cómo otras personas pueden utilizarlo.
También contestamos preguntas muy interesantes que se centraban en varios aspectos como:
-Incluir la medida del uso que se hace de los permisos, teniendo en cuenta que algunas apps hacen un uso más intensivo que otras.
-Ponderar los permisos en base a su impacto sobre la funcionalidad de la aplicación. Porque, ¿qué funcionalidad se pierde cuando se deniega un permiso?
Entendemos que si la funcionalidad es esencial, quizás no sea buena idea. Por ejemplo, retirar los permisos de cámara y micrófono a una app de videoconferencia haría que perdiera casi toda su funcionalidad.
-¿Qué se puede mejorar, el uso por los desarrolladores de los permisos, o el modelo de seguridad de Android?
Consideramos que es posible trabajar en ambos aspectos, pero este es un tema sobre el que nos extenderemos en futuras publicaciones.
Gracias al feedback recibido concluimos que cualquiera de estas mejoras en nuestros indicadores requiere incluir nueva información en el repositorio, aspecto en el que seguimos trabajando.
Si estás interesado/a en utilizarlo, puedes encontrar información aquí https://lnkd.in/d2nPqccq o https://lnkd.in/dJVCT3sZ o si quieres sugerirnos alguna información adicional que te gustaría encontrar pero ahora no está, escríbenos a cualquiera de estos correos: gi.ingpriv@uva.es apppi@infor.uva.es
El Proyecto App-PI que estamos desarrollando es una iniciativa realizada al amparo de un convenio de colaboración entre la Universidad de Valladolid y la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A. para la promoción de proyectos estratégicos de ciberseguridad en España, en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia, financiados por la Unión Europea (Next Generation).
