Resultado de Aprendizaje 4: Detección de problemas de seguridad en aplicaciones para dispositivos móviles
- Conceptos: Sistemas de permisos en Android e iOS; implicaciones de seguridad.
- Prácticas: Desarrollar apps que soliciten permisos; analizar manifests.
- Herramientas: Android Studio, Xcode, MobSF.
- Adicional: Evolución de modelos de permisos; gestión de permisos por usuarios.
Criterio 4.b: Describir técnicas de almacenamiento seguro de datos
- Conceptos: Métodos de almacenamiento (preferencias, bases de datos); encriptación de datos.
- Prácticas: Implementar almacenamiento encriptado; inspeccionar datos de la app.
- Herramientas: Bibliotecas de encriptación, herramientas forenses (uso educativo).
- Adicional: Diferencias entre almacenamiento en Android e iOS; manejo seguro de datos en memoria.
Criterio 4.c: Implementar validación de compras integradas con validación en servidor
- Conceptos: Mecánicas de compras in-app; riesgos de validación del lado del cliente.
- Prácticas: Configurar compras; implementar validación del servidor; probar spoofing.
- Herramientas: SDKs de plataforma (Google Play Billing, StoreKit), frameworks del lado del servidor.
- Adicional: Técnicas de fraude; manejo de reembolsos y suscripciones.
Criterio 4.d: Usar herramientas de monitorización de tráfico de red
- Conceptos: Protocolos seguros vs. inseguros; ataques MITM; pinning de certificados.
- Prácticas: Inspeccionar tráfico con herramientas; implementar pinning.
- Herramientas: Wireshark, Burp Suite, Charles Proxy.
- Adicional: Manejo de claves API; impacto de VPNs en seguridad.
- Conceptos: Información en binarios (cadenas, claves); técnicas de ofuscación.
- Prácticas: Descompilar apps; buscar datos sensibles; aplicar ofuscación.
- Herramientas: jadx, apktool, ProGuard.
- Adicional: Aspectos legales y éticos del reverse engineering; protección de propiedad intelectual.