En nuestra presentación en Navaja Negra 2024 explicamos la diferencia entre permisos y grupos en el modelo de seguridad de Android, presentamos las métricas que utilizamos en nuestra app APKFalcon y cómo aprovechamos la información sobre permisos, grupos y uso de permisos por parte del malware para construir métricas. También mostramos el repositorio donde almacenamos los datos que utilizamos para hacer estos cálculos y cómo otros pueden utilizarlos.
También respondimos a preguntas muy interesantes que se centraban en varios aspectos como:
–Incluir la medición del uso que se hace de los permisos, teniendo en cuenta que algunas apps hacen un uso más intensivo que otras.
–Ponderar los permisos en función de su impacto en la funcionalidad de la aplicación. Porque, ¿qué funcionalidad se pierde cuando se deniega un permiso?
Entendemos que si la funcionalidad es esencial, puede no ser una buena idea. Por ejemplo, eliminar los permisos de cámara y micrófono de una aplicación de videoconferencia haría que perdiera casi toda su funcionalidad.
–¿Qué se puede mejorar, el uso de permisos por parte de los desarrolladores, o el modelo de seguridad de Android?
Creemos que es posible trabajar en ambos aspectos, pero este es un tema que ampliaremos en futuros posts.
Gracias a los comentarios recibidos, hemos llegado a la conclusión de que cualquiera de estas mejoras en nuestros indicadores requiere incluir nueva información en el repositorio, algo en lo que seguimos trabajando.
Si estás interesado en utilizarlo, puedes informarte aquí https://apkfalcon.infor.uva.es:8080/docs o https://apkfalcon.infor.uva.es/ o si quieres sugerirnos alguna información adicional que te gustaría encontrar pero que ahora no está, escríbenos a cualquiera de estos correos: gi.ingpriv@uva.es apppi@infor.uva.es
El Proyecto App-PI que estamos desarrollando es una iniciativa llevada a cabo al amparo de un convenio de colaboración entre la Universidad de Valladolid y la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A. para el impulso de proyectos estratégicos de ciberseguridad en España, en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia, financiado por la Unión Europea (Next Generation).
