7 ene. 2014

OASAM: metodología para el análisis de seguridad de aplicaciones Android

Daniel Medianero comparte con nosotros OASAM, el acrónimo de Open Android Security Assessment Methodology.
OASAM tiene por objetivo ser una metodología de análisis de seguridad de aplicaciones Android. El objetivo es ser un framework de referencia de análisis de vulnerabilidades en aplicaciones Android.

Android se está revelando como el sistema operativo más extendido en este apartado debido a diversos motivos, entre ellos la facilidad de crear y distribuir masivamente aplicativos. Sin embargo desde el punto de vista de seguridad no se está difundiendo ningún tipo de información acerca de las nuevas vulnerabilidades que puede acarrear la programación insegura en esta plataforma, que tiene una considerable superficie de ataque (la tradicional añadiendo la que la propia arquitectura Android incorpora).

El objetivo del proyecto OASAM es elaborar una taxonomía completa y consistente de vulnerabilidades en aplicaciones Android, que sirva de apoyo no solo a los desarrolladores de aplicaciones, sino también a los encargados de buscar vulnerabilidades en las mismas.

Los controles de seguridad se estructuran en diferentes secciones:
  1. OASAM-INFO  Information Gathering  Obtención de información y definición de superficie de ataque
  2. OASAM-CONF  Configuration and Deploy Management  Analisis de la configuración e implantación
  3. OASAM-AUTH  Authentication  Analisis de la autenticación
  4. OASAM-CRYPT  Cryptography  Analisis del uso de criptografía
  5. OASAM-LEAK  Information Leak  Analisis de fugas de información sensible
  6. OASAM-DV  Data Validation  Analisis de gestión de la entrada de usuario
  7. OASAM-IS  Intent Spoofing  Analisis de la gestión en la recepción de Intents
  8. OASAM-UIR  Unauthorized Intent Receipt  Analisis de la resolución de intents
  9. OASAM-BL  Business Logic  Analisis de la lógica de negocio la aplicación
Fuente: OASAM

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!