A study of vulnerabilities on Android systems

Abstract

[EN] The increasing use of Android-based devices justifies the increasing number of threats that are affecting such type of terminals today. Such threats try to break the access controls existing in the devices in order to perturb the regular execution of applications and/or steal private user information. This situation motivates the need of exploring and detecting the various design and implementation flaws existing in the various versions of the Android OS that are currently incorporated to the different terminals sold by manufacturers. This master thesis studies from a practical perspective how to discover such vulnerabilities by using the different security tools available in the market. The different control and monitoring capabilities of such tools are first analyzed. Then, using the most capable one, different intrusion scenarios are defined and penetration tests are carried out in order to assess to what extent different Android devices are robust to considered intrusions. Results show the great insecurity existing in Android. In some scenarios, injected attacks lead to intrusion-prone situations that compromise information existing in devices and applications running on them. In other, affected targets are devices themselves, that can be switched off or whose battery can be drained. This motivates further research not only in the domain of vulnerability and risk assessment of mobile OS but also in the development of new mechanisms for preventing and tolerating attacks and intrusions specifically pointing out such targets.

[ES] El incremento de dispositivos basados en Android, justifica el incremento de amenazas que afectan a este tipo de dispositivos. Estas amenazas intentan romper los sistemas de acceso existentes en este tipo de dispositivos, para influir en el desarrollo normal de las aplicaciones que se ejecutan en los terminales, además de intentar robar información privada del usuario del terminal. Esta situación motiva la necesidad de explorar las distintas versiones del sistema operativo que los fabricantes de telefonía móvil, están vendiendo actualmente. Esta tesina, estudia desde el punto de vista práctico como descubrir estas vulnerabilidades, usando diversas herramientas de seguridad. Primeramente, estas herramientas han sido testeadas y analizadas. Una vez, elegida la herramienta que más se adapta a nuestras necesidades, han sido desarrollados diferentes escenarios de intrusión, con el fin de evaluar los diferentes sistemas Android y saber cual de ellos es más robusto. Estos resultados muestran que Android es un sistema muy inseguro. En algunos escenarios, los ataques han comprometido información existente en el dispositivo y de las aplicaciones en ejecución. También los propios dispositivos han sido afectados, reiniciando el dispositivo o agotando la batería. Esto motiva una investigación posterior, no solo en el campo de los dispositivos móviles, sino, en el desarrollo de nuevos mecanismos, para evitar estos ataques, que principalmente se están centrando en este tipo de dispositivos