Modern Security for Android Developers

SEGURIDAD MODERNA
PARA ANDROID 
DEVELOPERS
Dinorah Tovar
Platform Mobile Engineer
@ddinorahtovar
@ddinorahtovar
@dinorahto
@dinorahto
Doing code @ Konfío

View Slide

Hablemos sobre
seguridad

View Slide

• En el 2018 Android obtuvo 0 critical security vulnerabilities
• El 84% de los dispositivos tuvieron updates de parches de
seguridad, asegurándonos que nuestros dispositivos están libres
de posibles bugs
• En el futuro, deberíamos buscar Privacidad, Actualizaciones
continuas y Endurecimiento
Seguridad en Android

View Slide

En Android 10
Privacidad Actualizaciones Endurecimiento

View Slide

Encriptación en
Android: Vol 1

View Slide

Encriptación en Android
“Es el proceso de codificación de la información de un
usuario en un dispositivo Android, usando llaves
simétricas”

View Slide

 
Algorithm
Data
Key
Cipher
Text

View Slide

Cipher Mac
Signature Message Digest

View Slide


View Slide

val cipher = Cipher.getInstance("AES/CBC/PKCS5Padding")
Algorithm
Model
Padding

View Slide

•Existen muchos tipos de estándares como: 
Advanced Encryption Standard (AES) 
Rivest–Shamir–Adleman (RSA)
•Modos de operación para llaves simétricas y no simétricas
•Paddings para encriptar data larga y corta

View Slide

La encriptación es un proceso de hardware o de software?
DEPENDE

View Slide

•Hardware acceleration
•Android Version
android:name=".YourApp"
android:icon="@mipmap/ic_launcher"
android:label="@string/app_name"
android:roundIcon="@mipmap/ic_launcher_round"
android:hardwareAccelerated="true"/>

View Slide

Encriptación en
Android: Vol 2

View Slide


View Slide

• Mejores practicas, relacionadas a la escritura y lectura de data
segura, al igual que manejo de llaves
dependencies {
implementation “androidx.security:security-crypto:1.0.0-rc02”
}

View Slide

• Usando Tink, una librera cross-platform para encriptación, Esto
significa que debemos usar un minSDK de 23

View Slide

• Mejores practicas, relacionadas a la escritura y lectura de data
segura, al igual que manejo de llaves
dependencies {
implementation “androidx.security:security-crypto:1.1.0-alpha01”
}

View Slide


View Slide

KeyPairGenerator VS. Jetpack Security
KeyPairGenerator.getInstance(KeyProperties.KEY_ALGORITHM_RSA, "AndroidKeyStore").apply {
val certBuilder = KeyGenParameterSpec.Builder(alias, KeyProperties.PURPOSE_ENCRYPT)
.setKeyValidityStart(keyValidityStart)
.setKeyValidityEnd(keyValidityEnd)
.setCertificateSerialNumber(BigInteger.valueOf(1L))
.setCertificateSubject(X500Principal("CN=MyCompany"))
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.P) {
initialize(
certBuilder
.setIsStrongBoxBacked(true)
.build()
)
} else {
initialize(certBuilder.build())
}
}.also {
val keyPair = it.generateKeyPair()
//Continue here
}

View Slide

val spec = KeyGenParameterSpec.Builder(
KEY_NAME,
KeyProperties.PURPOSE_ENCRYPT or
KeyProperties.PURPOSE_DECRYPT
).apply {
setBlockModes(KeyProperties.BLOCK_MODE_CBC)
setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_PKCS7)
setUserAuthenticationRequired(true)
setUserAuthenticationValidityDurationSeconds(TIMEOUT_SECONDS)
setRandomizedEncryptionRequired(false)
}.build()

View Slide

Amigos, no enemigos

View Slide

MASTER KEY
KEYSET
File or
SharedPreference
Key to
encrypt

View Slide

KEYCHAIN
Key
Key Alias

View Slide

//Out of the box, without magic tricks
val masterKeyAlias = MasterKeys.getOrCreate(MasterKeys.AES256_GCM_SPEC)

View Slide

KEY_NAME,
).apply {
}.build()

View Slide

//Out of the box, without magic tricks
val masterKeyAlias = MasterKeys.getOrCreate(spec)

View Slide

Encriptación en
Android: Vol 3

View Slide

val encryptedFile = EncryptedFile.Builder(
File(directoryPath, "FileName"),
context,
masterKeyAlias,
EncryptedFile.FileEncryptionScheme.AES256_GCM_HKDF_4KB
).build()

View Slide

encryptedFile.openFileOutput().bufferedWriter().use {
it.write("Hola Mexico! vamos a encriptar esto")
}

View Slide

val contents = encryptedFile.bufferedReader().useLines { lines ->
lines.fold("") { working, line ->
"$working\n$line"
}
}

View Slide

val sharedPreferences = EncryptedSharedPreferences.create(
"FileName",
masterKeyAlias,
context,
EncryptedSharedPreferences.PrefKeyEncryptionScheme.AES256_SIV,
EncryptedSharedPreferences.PrefValueEncryptionScheme.AES256_GCM
)
val sharedPrefsEditor = sharedPreferences.edit()

View Slide

• Encriptando las keys y los values, por que a veces guardamos las
cosas como:
val sharedPref = activity?.getPreferences(Context.MODE_PRIVATE) ?: return
with (sharedPref.edit()) {
putString("Llave del servidor de mi empresa", superUltraPrivateKey)
commit()
}

View Slide

•Encriptación de Keys y Values con diferentes métodos
•Procesos más seguros

View Slide

• Support para Kit Kat
•Rotation Keys
•ALPHA, necesitamos un Release Candidate

View Slide

# Security
-keepclassmembers class * extends com.google.crypto.tink.shaded.protobuf.GeneratedMessageLite {
;
}

View Slide

Biometricos
como auth local:
Vol 4

View Slide

KEY_NAME,
).apply {
}.build()

View Slide

• Necesitamos un método de autenticación para usar MasterKey por
ejemplo, biometric prompt
dependencies {
implementation “androidx.biometric:biometric:1.0.0-alpha03"
}

View Slide

val promptInfo = BiometricPrompt.PromptInfo
.Builder().apply {
setTitle(“Titulo bonito")
setDescription(“Descripción bonita”)
setDeviceCredentialAllowed(true)
}.build()

View Slide

BiometricPrompt(
this, //Nice Activity
ContextCompat.getMainExecutor(this),
ourNiceCoolCallback
).authenticate(promptInfo)

View Slide

BiometricPrompt(activity, executor, object : BiometricPrompt.AuthenticationCallback() {
override fun onAuthenticationError(errorCode: Int, errString: CharSequence) {
super.onAuthenticationError(errorCode, errString)
}
override fun onAuthenticationSucceeded(result: BiometricPrompt.AuthenticationResult) {
super.onAuthenticationSucceeded(result)
}
override fun onAuthenticationFailed() {
super.onAuthenticationFailed()
}
})

View Slide

Native code
Modules: Vol 5

View Slide

Modulos de código Nativo en Android
• Modulos de C y C++

View Slide

Los modulos en C y C++ son seguros?
Modulos de código Nativo en Android
DEPENDE

View Slide

Encriptación en Módulos de Código Nativo
#include
 
JNIEXPORT jstring JNICALL
Java_com_amazing_project_keymodule_NdkKeys_getSomeID(JNIEnv *env,jobject instance) {
return (*env)->NewStringUTF(env,"SomeCoolStringThatYouWantToKeepSafe");

View Slide

private const val AES_MODE = "AES/CBC/PKCS7Padding"
private val CHARSET = Charsets.UTF_8
private const val HASH_ALGORITHM = "SHA-256"
private val ivBytes = byteArrayOf(
0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00)
@Throws(NoSuchAlgorithmException::class, UnsupportedEncodingException::class)
private fun generateKey(password: String): SecretKeySpec {
val digest = MessageDigest.getInstance(HASH_ALGORITHM)
val bytes = password.toByteArray(charset("UTF-8"))
digest.update(bytes, 0, bytes.size)
val key = digest.digest()
return SecretKeySpec(key, "AES")
}

View Slide


View Slide

Android 11:
Privacy changes!

View Slide

• La data es de nuestros usuarios
• El futuro es hoy, Android 10 agrego cosas como Roles,
Restriction de Content providers, Screen recording y Location
Settings
Android 11

View Slide

Permisos
Android 10 Android 11
Background and Foreground Only one time

View Slide

Location Permissions
Android 11
Background Location and Foreground Location

View Slide

Apps no longer used
•Si tu Target SDK es Android 11, las apps que no sean usadas, se
les removerá los permisos de manera automática
•Se le informara al usuario

View Slide

Privacy es la prioridad numero 1.

View Slide

SEGURIDAD MODERNA
PARA ANDROID 
DEVELOPERS
Dinorah Tovar
Platform Mobile Engineer
@ddinorahtovar
@ddinorahtovar
@dinorahto
@dinorahto
Doing code @ Konfío

View Slide

Modern Security for Android Developers

Modern Security for Android Developers

Dinorah Tovar

More Decks by Dinorah Tovar

Other Decks in Technology

Featured

Transcript