SEGURIDAD MODERNA PARA ANDROID
 DEVELOPERS Dinorah Tovar Platform Mobile Engineer @ddinorahtovar @ddinorahtovar @dinorahto @dinorahto Doing code @ Konfío 

Hablemos sobre seguridad 

• En el 2018 Android obtuvo 0 critical security vulnerabilities • El 84% de los dispositivos tuvieron updates de parches de seguridad, asegurándonos que nuestros dispositivos están libres de posibles bugs • En el futuro, deberíamos buscar Privacidad, Actualizaciones continuas y Endurecimiento Seguridad en Android 

En Android 10 Privacidad Actualizaciones Endurecimiento 

Encriptación en Android: Vol 1 

Encriptación en Android “Es el proceso de codificación de la información de un usuario en un dispositivo Android, usando llaves simétricas” 

Encriptación en Android 
 Algorithm Data Key Cipher Text 

Encriptación en Android Cipher Mac Signature Message Digest 

Encriptación en Android 

Encriptación en Android val cipher = Cipher.getInstance("AES/CBC/PKCS5Padding") Algorithm Model Padding 

Encriptación en Android •Existen muchos tipos de estándares como:
 Advanced Encryption Standard (AES)
 Rivest–Shamir–Adleman (RSA) •Modos de operación para llaves simétricas y no simétricas •Paddings para encriptar data larga y corta 

La encriptación es un proceso de hardware o de software? Encriptación en Android DEPENDE 

Encriptación en Android •Hardware acceleration •Android Version 

Encriptación en Android: Vol 2 

Encriptación en Android 

Encriptación en Android 

Encriptación en Android • Mejores practicas, relacionadas a la escritura y lectura de data segura, al igual que manejo de llaves dependencies { implementation “androidx.security:security-crypto:1.0.0-rc02” } 

Encriptación en Android • Usando Tink, una librera cross-platform para encriptación, Esto significa que debemos usar un minSDK de 23 

Encriptación en Android • Mejores practicas, relacionadas a la escritura y lectura de data segura, al igual que manejo de llaves dependencies { implementation “androidx.security:security-crypto:1.1.0-alpha01” } 

Encriptación en Android 

KeyPairGenerator VS. Jetpack Security KeyPairGenerator.getInstance(KeyProperties.KEY_ALGORITHM_RSA, "AndroidKeyStore").apply { val certBuilder = KeyGenParameterSpec.Builder(alias, KeyProperties.PURPOSE_ENCRYPT) .setKeyValidityStart(keyValidityStart) .setKeyValidityEnd(keyValidityEnd) .setCertificateSerialNumber(BigInteger.valueOf(1L)) .setCertificateSubject(X500Principal("CN=MyCompany")) if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.P) { initialize( certBuilder .setIsStrongBoxBacked(true) .build() ) } else { initialize(certBuilder.build()) } }.also { val keyPair = it.generateKeyPair() //Continue here } 

KeyPairGenerator VS. Jetpack Security val spec = KeyGenParameterSpec.Builder( KEY_NAME, KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT ).apply { setBlockModes(KeyProperties.BLOCK_MODE_CBC) setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_PKCS7) setUserAuthenticationRequired(true) setUserAuthenticationValidityDurationSeconds(TIMEOUT_SECONDS) setRandomizedEncryptionRequired(false) }.build() 

KeyPairGenerator VS. Jetpack Security Amigos, no enemigos 

Encriptación en Android MASTER KEY KEYSET File or SharedPreference Key to encrypt 

Encriptación en Android KEYCHAIN Key Key Alias 

Encriptación en Android //Out of the box, without magic tricks val masterKeyAlias = MasterKeys.getOrCreate(MasterKeys.AES256_GCM_SPEC) 

Encriptación en Android val spec = KeyGenParameterSpec.Builder( KEY_NAME, KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT ).apply { setBlockModes(KeyProperties.BLOCK_MODE_CBC) setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_PKCS7) setUserAuthenticationRequired(true) setUserAuthenticationValidityDurationSeconds(TIMEOUT_SECONDS) setRandomizedEncryptionRequired(false) }.build() 

Encriptación en Android //Out of the box, without magic tricks val masterKeyAlias = MasterKeys.getOrCreate(spec) 

Encriptación en Android: Vol 3 

Encriptación en Android val encryptedFile = EncryptedFile.Builder( File(directoryPath, "FileName"), context, masterKeyAlias, EncryptedFile.FileEncryptionScheme.AES256_GCM_HKDF_4KB ).build() 

Encriptación en Android encryptedFile.openFileOutput().bufferedWriter().use { it.write("Hola Mexico! vamos a encriptar esto") } 

Encriptación en Android val contents = encryptedFile.bufferedReader().useLines { lines -> lines.fold("") { working, line -> "$working\n$line" } } 

Encriptación en Android val sharedPreferences = EncryptedSharedPreferences.create( "FileName", masterKeyAlias, context, EncryptedSharedPreferences.PrefKeyEncryptionScheme.AES256_SIV, EncryptedSharedPreferences.PrefValueEncryptionScheme.AES256_GCM ) val sharedPrefsEditor = sharedPreferences.edit() 

Encriptación en Android • Encriptando las keys y los values, por que a veces guardamos las cosas como: val sharedPref = activity?.getPreferences(Context.MODE_PRIVATE) ?: return with (sharedPref.edit()) { putString("Llave del servidor de mi empresa", superUltraPrivateKey) commit() } 

Encriptación en Android •Encriptación de Keys y Values con diferentes métodos •Procesos más seguros 

Encriptación en Android • Support para Kit Kat •Rotation Keys •ALPHA, necesitamos un Release Candidate 

Encriptación en Android # Security -keepclassmembers class * extends com.google.crypto.tink.shaded.protobuf.GeneratedMessageLite { ; } 

Biometricos como auth local: Vol 4 

Encriptación en Android val spec = KeyGenParameterSpec.Builder( KEY_NAME, KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT ).apply { setBlockModes(KeyProperties.BLOCK_MODE_CBC) setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_PKCS7) setUserAuthenticationRequired(true) setUserAuthenticationValidityDurationSeconds(TIMEOUT_SECONDS) setRandomizedEncryptionRequired(false) }.build() 

Encriptación en Android • Necesitamos un método de autenticación para usar MasterKey por ejemplo, biometric prompt dependencies { implementation “androidx.biometric:biometric:1.0.0-alpha03" } 

Encriptación en Android val promptInfo = BiometricPrompt.PromptInfo .Builder().apply { setTitle(“Titulo bonito") setDescription(“Descripción bonita”) setDeviceCredentialAllowed(true) }.build() 

Encriptación en Android BiometricPrompt( this, //Nice Activity ContextCompat.getMainExecutor(this), ourNiceCoolCallback ).authenticate(promptInfo) 

Encriptación en Android BiometricPrompt(activity, executor, object : BiometricPrompt.AuthenticationCallback() { override fun onAuthenticationError(errorCode: Int, errString: CharSequence) { super.onAuthenticationError(errorCode, errString) } override fun onAuthenticationSucceeded(result: BiometricPrompt.AuthenticationResult) { super.onAuthenticationSucceeded(result) } override fun onAuthenticationFailed() { super.onAuthenticationFailed() } }) 

Native code Modules: Vol 5 

Modulos de código Nativo en Android • Modulos de C y C++ 

Los modulos en C y C++ son seguros? Modulos de código Nativo en Android DEPENDE 

Encriptación en Módulos de Código Nativo #include 
 JNIEXPORT jstring JNICALL Java_com_amazing_project_keymodule_NdkKeys_getSomeID(JNIEnv *env,jobject instance) { return (*env)->NewStringUTF(env,"SomeCoolStringThatYouWantToKeepSafe"); 

Encriptación en Módulos de Código Nativo private const val AES_MODE = "AES/CBC/PKCS7Padding" private val CHARSET = Charsets.UTF_8 private const val HASH_ALGORITHM = "SHA-256" private val ivBytes = byteArrayOf( 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00) @Throws(NoSuchAlgorithmException::class, UnsupportedEncodingException::class) private fun generateKey(password: String): SecretKeySpec { val digest = MessageDigest.getInstance(HASH_ALGORITHM) val bytes = password.toByteArray(charset("UTF-8")) digest.update(bytes, 0, bytes.size) val key = digest.digest() return SecretKeySpec(key, "AES") } 

Encriptación en Módulos de Código Nativo private const val AES_MODE = "AES/CBC/PKCS7Padding" private val CHARSET = Charsets.UTF_8 private const val HASH_ALGORITHM = "SHA-256" private val ivBytes = byteArrayOf( 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00) @Throws(NoSuchAlgorithmException::class, UnsupportedEncodingException::class) private fun generateKey(password: String): SecretKeySpec { val digest = MessageDigest.getInstance(HASH_ALGORITHM) val bytes = password.toByteArray(charset("UTF-8")) digest.update(bytes, 0, bytes.size) val key = digest.digest() return SecretKeySpec(key, "AES") } 

Encriptación en Módulos de Código Nativo 

Android 11: Privacy changes! 

• La data es de nuestros usuarios • El futuro es hoy, Android 10 agrego cosas como Roles, Restriction de Content providers, Screen recording y Location Settings Android 11 

Permisos Android 10 Android 11 Background and Foreground Only one time 

Location Permissions Android 11 Background Location and Foreground Location 

Apps no longer used •Si tu Target SDK es Android 11, las apps que no sean usadas, se les removerá los permisos de manera automática •Se le informara al usuario 

Privacy es la prioridad numero 1. 

SEGURIDAD MODERNA PARA ANDROID
 DEVELOPERS Dinorah Tovar Platform Mobile Engineer @ddinorahtovar @ddinorahtovar @dinorahto @dinorahto Doing code @ Konfío