OASAM Open Android Security Assessment Methodology

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn0

OASAM, es acrónimo de Open Android Security Assessment Methodology y tiene por objetivo ser una metodología de análisis de seguridad de aplicaciones Android. El objetivo es ser un framework de referencia de análisis de vulnerabilidades en aplicaciones Android.

Actualmente los dispositivos portables están copando el mercado, la consumerización los está llevando al apartado empresarial, dejando obsoleta la idea del uso exclusivamente ocioso. Por un lado Android se está revelando como el sistema operativo más extendido en este apartado debido a diversos motivos, entre ellos la facilidad de crear y distribuir masivamente aplicativos. Sin embargo desde el punto de vista de seguridad no se está difundiendo ningún tipo de información acerca de las nuevas vulnerabilidades que puede acarrear la programación insegura en esta plataforma, que tiene una considerable superficie de ataque (la tradicional añadiendo la que la propia arquitectura Android incorpora).

Por otro lado, aunque hay algunos trabajos concretos al respecto, no existe una taxonomía completa y consistente de vulnerabilidades en aplicaciones específicas de Android que permita calalogar estas vulnerabilidades.
El objetivo del proyecto OASAM es elaborar una taxonomía completa y consistente de vulnerabilidades en aplicaciones Android, que sirva de apoyo no solo a los desarrolladores de aplicaciones, sino también a los encargados de buscar vulnerabilidades en las mismas.

Los controles de seguridad se estructuran en diferentes secciones:

  1. OASAM-INFO Information Gathering Obtención de información y definición de superficie de ataque
  2. OASAM-CONF Configuration and Deploy Management Analisis de la configuración e implantación
  3. OASAM-AUTH Authentication Analisis de la autenticación
  4. OASAM-CRYPT Cryptography Analisis del uso de criptografía
  5. OASAM-LEAK Information Leak Analisis de fugas de información sensible
  6. OASAM-DV Data Validation Analisis de gestión de la entrada de usuario
  7. OASAM-IS Intent Spoofing Analisis de la gestión en la recepción de Intents
  8. OASAM-UIR Unauthorized Intent Receipt Analisis de la resolución de intents
  9. OASAM-BL Business Logic Analisis de la lógica de negocio la aplicación

Para saber más de OASAM pueden visitar la página oficial

Califica esta entrada

Etiquetas:


Deja un comentario

Cuanto es 8 + 18 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos