Google publicó hoy una publicación de blog en la que recomienda a los desarrolladores de aplicaciones móviles que cifren los datos que sus aplicaciones generan en los dispositivos de los usuarios, especialmente cuando usan almacenamiento externo sin protección que es propenso al secuestro.
Además, teniendo en cuenta que no hay muchos marcos de referencia disponibles para lo mismo, Google también aconsejó usar una biblioteca de seguridad fácil de implementar disponible como parte de su paquete de software Jetpack.
La biblioteca Jetpack Security (también conocida como JetSec) de código abierto permite a los desarrolladores de aplicaciones de Android leer y escribir fácilmente archivos cifrados siguiendo las mejores prácticas de seguridad, incluido el almacenamiento de claves criptográficas y la protección de archivos que pueden contener datos confidenciales, claves API, tokens OAuth.
Para dar un poco de contexto, Android ofrece a los desarrolladores dos formas diferentes de guardar los datos de la aplicación. El primero es el almacenamiento específico de la aplicación, también conocido como almacenamiento interno, donde los archivos se almacenan en una carpeta de espacio aislado destinada al uso de una aplicación específica e inaccesible para otras aplicaciones en el mismo dispositivo.
El otro es el almacenamiento compartido, también conocido como almacenamiento externo, que se encuentra fuera de la protección de la zona de pruebas y, a menudo, se usa para almacenar medios y archivos de documentos.
Sin embargo, se descubrió que la mayoría de las aplicaciones usan almacenamiento externo para almacenar datos confidenciales y privados sobre los usuarios y no toman las medidas adecuadas para protegerlos de otras aplicaciones, lo que permite a los atacantes robar fotos y videos y manipular archivos (llamados «Extracción de archivos multimedia»).
Las consecuencias de lo mismo se demostraron hace dos años con los ataques «man-in-the-disk» que hacen posible que los atacantes comprometan una aplicación al manipular ciertos datos que se intercambian entre esta y el almacenamiento externo.
Otra investigación demostró un ataque de canal lateral mediante el cual los atacantes pueden tomar fotografías y grabar videos en secreto, incluso cuando no tienen permisos específicos del dispositivo para hacerlo, pero solo aprovechando el acceso al almacenamiento externo del dispositivo.
Para evitar este tipo de ataques, Android 10 viene con una característica llamada ‘Almacenamiento con alcance‘que también almacena los datos de cada aplicación en el almacenamiento externo, lo que limita el acceso de las aplicaciones a los datos guardados por otras aplicaciones en su dispositivo. Pero la biblioteca JetSec va un paso más allá al ofrecer una solución fácil de usar para cifrar datos para obtener un nivel adicional de protección.
«Si su aplicación usa almacenamiento compartido, debe cifrar los datos», explicó la compañía. «En el directorio de inicio de la aplicación, su aplicación debe cifrar los datos si su aplicación maneja información confidencial que incluye, entre otros, información de identificación personal (PII), registros de salud, detalles financieros o datos empresariales».
Además, Google también recomienda que los desarrolladores de aplicaciones combinen el cifrado con información biométrica para mayor seguridad y privacidad.
La biblioteca Jetpack Security se presentó originalmente en mayo pasado en su conferencia anual para desarrolladores. Viene como parte de una expansión de Android Jetpack, una colección de componentes de software de Android que ayuda a los desarrolladores a seguir las mejores prácticas y diseñar aplicaciones de alta calidad.
