====== UF1 Seguretat en dispositius mòbils i IoT (33h) ====== #FpInfor #Asix #AsixMp17 #AsixMp17Uf1 ===== Teoria ===== * {{ :uf1._seguridad_en_dispositivos_moviles_y_iot-signed.pdf |}} ===== Activitats ===== ==== Pràctica 1: Configuració de Seguretat en un Dispositiu Android Virtual ==== **Objectiu:** Aquesta activitat té com a objectiu configurar correctament un dispositiu Android utilitzant un emulador o una màquina virtual, assegurant que es prenen les mesures de seguretat bàsiques com el xifratge, les contrasenyes, l'autenticació biomètrica i la gestió de permisos d'aplicacions. === Configuració de l'Emulador o Màquina Virtual === Per crear el teu emulador Android (és un suggeriment): * **VirtualBox amb Android-x86:** Descarrega VirtualBox des de [[https://www.virtualbox.org/|https://www.virtualbox.org/]] i Android-x86 des de [[https://www.android-x86.org/download|https://www.android-x86.org/download]]. === Configuració de Seguretat en Android === Un cop tinguis el dispositiu Android virtual en funcionament, segueix els passos següents per assegurar-lo: * **Configura un PIN o contrasenya:** Aneu a ''Configuració > Seguretat > Bloqueig de pantalla'' i configureu un PIN, Patró o Contrasenya per bloquejar el dispositiu (o semblant). * **Activa el xifratge:** Aneu a ''Configuració > Seguretat > Xifratge i credencials'' i assegureu-vos que el dispositiu està xifrat. Si no, activa el xifratge del dispositiu (o semblant). * **Google Play Protect:** Aneu a ''Google Play Store > Play Protect'' i assegureu-vos que l'opció per escanejar dispositius per malware està activada (o semblant). * **Permisos d'aplicacions:** Aneu a ''Configuració > Aplicacions > Gestió de permisos'' i reviseu els permisos de cada aplicació. Denegueu els permisos que no siguin necessaris (o semblant). * **Actualitzacions de seguretat:** Comproveu si hi ha actualitzacions de seguretat pendents a ''Configuració > Sistema > Actualització de programari'' (o semblant). === Presentació de l'activitat === * Fes captures de pantalla o grava un vídeo curt de les configuracions de seguretat que has implementat al dispositiu Android virtual. * Afegeix una petita descripció de cada pas. Aquestes imatges o vídeos serviran com a prova de la configuració realitzada. * Documenta pas a pas: * els errors que apareixen, * les causes més probables, * les solucions aplicades, amb captures de pantalla i explicacions pròpies. === Format d'entrega === El document s'ha d'entregar en format PDF amb el següent nom de fitxer: * ''C037_RA1_Pr01_Cognom1_Nom.pdf'' Termini d'entrega: indicat al Moodle. === Criteris d’avaluació === * **Posada en marxa de l’emulador o màquina virtual** * L’emulador/màquina virtual arrenca correctament i permet interactuar-hi. * S’han superat i documentat possibles problemes d’instal·lació o compatibilitat. * **Configuració de mesures de seguretat** * Evidències clares (captures/vídeo) de cada pas. * **Documentació del procés** * Estructura clara i ordenada del document PDF. * Explicació pas a pas amb captures de pantalla i comentaris propis. * Identificació i descripció de les dificultats trobades. * Explicació de les causes probables dels problemes. * Presentació de les solucions aplicades, raonant-ne la coherència. * Redacció clara, sense faltes ortogràfiques ==== Pràctica 2: Configuració de VPN en un dispositiu mòbil ==== === Context === Imagina que estàs gaudint d’un cafè mentre treballes en una cafeteria amb Wi-Fi gratuït. Tot sembla tranquil, però no ets l'únic/a que està connectat. Hi pot haver algú que, des d'una altra taula, estigui intentant espiar tot el que fas en línia: les teves contrasenyes, missatges, o fins i tot el teu compte bancari. Com pots evitar això? Amb una VPN! Una VPN (Virtual Private Network) crea una connexió segura i xifrada entre tu i internet, protegint totes les dades que envies i reps. Avui aprendràs a configurar una VPN al teu dispositiu mòbil per assegurar que ningú pugui espiar les teves dades, fins i tot quan estiguis connectat a xarxes Wi-Fi públiques. === Objectiu de l'activitat === Configurar una VPN en un dispositiu mòbil (sigui real o simulat) i verificar que les dades es transfereixen de manera xifrada. Això t’ajudarà a entendre com assegurar les teves connexions quan utilitzis xarxes Wi-Fi no segures. === Passos a seguir === == 1. Instal·lació d'una aplicació VPN == Per començar, has de descarregar una aplicació VPN, gratuïta o de prova, des de Google Play. Tens aquestes opcions per triar: * **ExpressVPN** * **NordVPN** * **ProtonVPN** Pots provar qualsevol d’aquestes aplicacions. Si ja coneixes alguna altra aplicació VPN, també la pots fer servir! == 2. Configuració manual de la VPN (opcional) == Si vols configurar la VPN manualment (sense utilitzar una aplicació), segueix aquests passos: * Accedeix a la configuració del teu dispositiu mòbil. * Ves a ''Xarxes i Internet > VPN''. * Afegeix una nova VPN amb aquests camps: * **Nom:** Pots posar un nom descriptiu com ''VPN Segura''. * **Tipus:** Tria el protocol (per exemple, PPTP o L2TP/IPSec). * **Nom d'usuari i contrasenya:** Introdueix les credencials que el servei VPN t’ha donat. * **Servidor:** La IP o adreça del servidor VPN. Un cop hagis completat la configuració, selecciona ''Connecta''. === On trobar una adreça de servidor VPN? === * **Proveïdors de VPN:** Si utilitzes un proveïdor de VPN com NordVPN, ExpressVPN o ProtonVPN, aquests serveis et proporcionen adreces de servidors VPN. Quan t'hi subscrius, tens accés a una llista de servidors en diferents ubicacions arreu del món. * **VPNs gratuïtes:** Alguns serveis VPN ofereixen servidors gratuïts, com: * ProtonVPN (pla gratuït amb servidors després de registrar-se). * VPN Gate (projecte gratuït amb llista de servidors VPN de voluntaris). * **Guies de configuració de serveis VPN:** Molts proveïdors tenen una secció d'ajuda amb exemples de configuració manual i adreces de servidor. * **Servidors OpenVPN:** Si utilitzes OpenVPN, pots trobar configuracions manuals i llistes de servidors a llocs com OpenVPN.net. == 3. Verificació de la connexió VPN == Ara que la VPN està configurada i activa, comprovarem si funciona correctament: * Obre el navegador al teu dispositiu i ves a ''whatismyip.com'' o ''iplocation.net''. * Comprova la teva adreça IP. Si la VPN està funcionant, hauràs d’observar un canvi d’adreça IP respecte a la teva IP real. La nova IP correspondrà al servidor VPN al qual t’has connectat. Això vol dir que la VPN està protegint la teva connexió i que la teva ubicació està “amagada”. Comprova també com algunes webs utilitzen la IP per localitzar-te: navega per diferents webs per observar com t’apareix publicitat del país on t’has connectat o altres indicacions de localització. == 4. Verificació del xifratge de dades == Per assegurar-nos que les dades es transfereixen de manera xifrada: * Navega fins a qualsevol lloc web que comenci amb ''https://''. Els llocs amb HTTPS xifren les dades que envies, així que la combinació de **VPN + HTTPS** ofereix una protecció addicional. * Si utilitzes una aplicació VPN, comprova si pots veure les estadístiques de dades xifrades (la majoria de les aplicacions tenen aquesta opció dins de la configuració). === Què has d’entregar === Per completar l’activitat, hauràs de: * Fer una captura de pantalla del teu dispositiu amb la VPN activada i mostrar l’adreça IP (que hauria de ser la del servidor VPN, no la teva). * Escriure un breu informe explicant: * els passos que has seguit per configurar la VPN, * els resultats de la verificació (canvi d'adreça IP, publicitat d’un altre país, comprovació del xifratge), * amb captures de pantalla. També forma part de l’activitat resoldre les dificultats que et puguis trobar. Documenta pas a pas els errors que apareixen, les causes més probables i les solucions aplicades, amb captures de pantalla i explicacions pròpies. === Format d'entrega === El document s'ha d'entregar en format PDF amb el següent nom de fitxer: * ''C037_RA1_Pr02_Cognom1_Nom.pdf'' ==== Pràctica 3: Avaluar la seguretat d’una aplicació mòbil ==== === Objectius d’aprenentatge === En finalitzar l’activitat, l’alumne ha de ser capaç de: * Analitzar una aplicació mòbil real identificant riscos i vulnerabilitats. * Detectar permisos excessius, absència de xifratge o problemes de privadesa. * Valorar el nivell de seguretat global d’una app mitjançant un mètode sistemàtic. * Justificar les seves conclusions amb arguments tècnics. === Metodologia === Treball en parelles o petits grups (2-3 alumnes). Cada grup escull una aplicació real per analitzar-la: pot ser una app coneguda (banc, xarxa social, missatgeria, joc...) o una app menys popular de la Play Store o App Store. --- === Fase 1: Selecció i informació bàsica === Cada grup escull una aplicació i completa la fitxa inicial: ^ Dada ^ Informació ^ | Nom de l’aplicació | | | Desenvolupador | | | Categoria (banc, jocs, xarxes, utilitat...) | | | Sistema operatiu | Android / iOS | | Font d’instal·lació | Google Play / App Store / altra | | Data d’última actualització | | | Nombre de descàrregues (si es mostra) | | **Objectiu:** comprovar la fiabilitat bàsica de la font i del desenvolupador. --- === Fase 2: Anàlisi de permisos i comportament === Aneu a: ''Configuració → Aplicacions → [Nom de l’app] → Permisos'' Apunteu tots els permisos que sol·licita i marqueu si són justificats. ^ Tipus de permís ^ És necessari? ^ Comentari ^ | Accés a la càmera | Sí / No | | | Accés a la ubicació | Sí / No | | | Accés als contactes | Sí / No | | | Micròfon | Sí / No | | | Emmagatzematge / fitxers | Sí / No | | | Altres (especificar) | Sí / No | | **Reflexió guiada:** * Necessita realment aquests permisos? * N’hi ha algun que resulti sospitós o invasiu? --- === Fase 3: Privadesa i connexions === == A. Política de privadesa == Busqueu la política de privadesa dins l’app o a la botiga. Respon: * És fàcilment accessible? * Indica quines dades recull i com s’utilitzen? * Permet controlar la recopilació de dades? == B. Connexió segura == Comproveu si l’app utilitza HTTPS/TLS: * A la fitxa de la botiga, menciona connexions segures? * Hi ha indicis d’enviament de dades en clar? **Conclusió:** Determineu si la comunicació sembla segura o vulnerable. --- === Fase 4: Actualitzacions i manteniment === * Mireu la data de la darrera actualització. * Si és molt antiga (més d’un any), marqueu-ho com a risc potencial. * Comproveu comentaris d’usuaris que mencionin errors o fallades de seguretat. **Objectiu:** entendre que una app sense manteniment és un risc latent. --- === Fase 5: Autenticació i accés === ^ Funció ^ Disponible ^ Observacions ^ | 2FA | Sí / No | | | Biometria | Sí / No | | | Expiració de sessió | Sí / No | | --- === Fase 6: Valoració global === Cada grup ha d’atorgar una nota de risc segons els criteris observats: ^ Àrea analitzada ^ Risc baix ^ Risc mitjà ^ Risc alt ^ | Permisos | ☐ | ☐ | ☐ | | Privadesa | ☐ | ☐ | ☐ | | Comunicació (xifratge) | ☐ | ☐ | ☐ | | Actualitzacions | ☐ | ☐ | ☐ | | Autenticació | ☐ | ☐ | ☐ | | Reputació de l’app | ☐ | ☐ | ☐ | **Valoració final:** “Considerem que l’app té un nivell de seguretat global **[baix / mitjà / alt]** perquè…” --- === Fase 7: Posada en comú i debat === Cada grup explica breument: * Quina app ha analitzat. * Quines vulnerabilitats o bones pràctiques han trobat. * Quines recomanacions donarien a un usuari per utilitzar-la amb seguretat. **Debat final:** * Quines apps aparentment “innocents” resulten més invasives? * Quins permisos són més crítics (micròfon, ubicació, contactes...)? * Per què algunes apps amb milions d’usuaris continuen tenint males pràctiques? --- === Resultat esperat === * Fitxa d’anàlisi completada (una per grup). * Presentació oral breu o debat a classe. * Conclusions sobre bones pràctiques en la instal·lació d’apps. === Eines suggerides === * Dispositiu Android/iOS (real o emulat). * Play Store / App Store. * Aplicacions d’anàlisi: MobSF (PC), APK Analyzer, Packet Capture. * Navegador per consultar polítiques de privadesa. --- === Avaluació de l’activitat === ^ Criteri ^ Puntuació màxima ^ Descripció ^ | Identificació d’elements clau de seguretat | 3 punts | Permisos, xifratge, autenticació | | Capacitat d’anàlisi i justificació | 3 punts | Argumentació coherent i tècnica | | Presentació i claredat del resultat | 2 punts | Fitxa completa, exposició breu | | Participació i treball en equip | 2 punts | Implicació i col·laboració | **Total: 10 punts** --- === Format d'entrega === Lliurament per part d’un representant del grup, indicant el nom de tots els integrants. El document s'ha d'entregar en format PDF amb el següent nom de fitxer: * ''C037_RA1_Pr03_NomApp.pdf''