UF1 Seguretat en dispositius mòbils i IoT (33h)

#FpInfor #Asix #AsixMp17 #AsixMp17Uf1

Teoria

• uf1._seguridad_en_dispositivos_moviles_y_iot-signed.pdf

Activitats

Pràctica 1: Configuració de Seguretat en un Dispositiu Android Virtual

Objectiu: Aquesta activitat té com a objectiu configurar correctament un dispositiu Android utilitzant un emulador o una màquina virtual, assegurant que es prenen les mesures de seguretat bàsiques com el xifratge, les contrasenyes, l'autenticació biomètrica i la gestió de permisos d'aplicacions.

Configuració de l'Emulador o Màquina Virtual

Per crear el teu emulador Android (és un suggeriment):

• VirtualBox amb Android-x86:

Descarrega VirtualBox des de https://www.virtualbox.org/ i Android-x86 des de https://www.android-x86.org/download.

Configuració de Seguretat en Android

Un cop tinguis el dispositiu Android virtual en funcionament, segueix els passos següents per assegurar-lo:

• Configura un PIN o contrasenya:

Aneu a Configuració > Seguretat > Bloqueig de pantalla i configureu un PIN, Patró o Contrasenya per bloquejar el dispositiu (o semblant).

• Activa el xifratge:

Aneu a Configuració > Seguretat > Xifratge i credencials i assegureu-vos que el dispositiu està xifrat.

  Si no, activa el xifratge del dispositiu (o semblant).

• Google Play Protect:

Aneu a Google Play Store > Play Protect i assegureu-vos que l'opció per escanejar dispositius per malware està activada (o semblant).

• Permisos d'aplicacions:

Aneu a Configuració > Aplicacions > Gestió de permisos i reviseu els permisos de cada aplicació.

  Denegueu els permisos que no siguin necessaris (o semblant).

• Actualitzacions de seguretat:

Comproveu si hi ha actualitzacions de seguretat pendents a Configuració > Sistema > Actualització de programari (o semblant).

Presentació de l'activitat

• Fes captures de pantalla o grava un vídeo curt de les configuracions de seguretat que has implementat al dispositiu Android virtual.
• Afegeix una petita descripció de cada pas. Aquestes imatges o vídeos serviran com a prova de la configuració realitzada.
• Documenta pas a pas:
  • els errors que apareixen,
  • les causes més probables,
  • les solucions aplicades,

amb captures de pantalla i explicacions pròpies.

Format d'entrega

El document s'ha d'entregar en format PDF amb el següent nom de fitxer:

• C037_RA1_Pr01_Cognom1_Nom.pdf

Termini d'entrega: indicat al Moodle.

Criteris d’avaluació

• Posada en marxa de l’emulador o màquina virtual
  • L’emulador/màquina virtual arrenca correctament i permet interactuar-hi.
  • S’han superat i documentat possibles problemes d’instal·lació o compatibilitat.

• Configuració de mesures de seguretat
  • Evidències clares (captures/vídeo) de cada pas.

• Documentació del procés
  • Estructura clara i ordenada del document PDF.
  • Explicació pas a pas amb captures de pantalla i comentaris propis.
  • Identificació i descripció de les dificultats trobades.
  • Explicació de les causes probables dels problemes.
  • Presentació de les solucions aplicades, raonant-ne la coherència.
  • Redacció clara, sense faltes ortogràfiques

Pràctica 2: Configuració de VPN en un dispositiu mòbil

Context

Imagina que estàs gaudint d’un cafè mentre treballes en una cafeteria amb Wi-Fi gratuït. Tot sembla tranquil, però no ets l'únic/a que està connectat. Hi pot haver algú que, des d'una altra taula, estigui intentant espiar tot el que fas en línia: les teves contrasenyes, missatges, o fins i tot el teu compte bancari.

Com pots evitar això? Amb una VPN!

Una VPN (Virtual Private Network) crea una connexió segura i xifrada entre tu i internet, protegint totes les dades que envies i reps. Avui aprendràs a configurar una VPN al teu dispositiu mòbil per assegurar que ningú pugui espiar les teves dades, fins i tot quan estiguis connectat a xarxes Wi-Fi públiques.

Objectiu de l'activitat

Configurar una VPN en un dispositiu mòbil (sigui real o simulat) i verificar que les dades es transfereixen de manera xifrada. Això t’ajudarà a entendre com assegurar les teves connexions quan utilitzis xarxes Wi-Fi no segures.

Passos a seguir

1. Instal·lació d'una aplicació VPN

Per començar, has de descarregar una aplicació VPN, gratuïta o de prova, des de Google Play. Tens aquestes opcions per triar:

* ExpressVPN * NordVPN * ProtonVPN

Pots provar qualsevol d’aquestes aplicacions. Si ja coneixes alguna altra aplicació VPN, també la pots fer servir!

2. Configuració manual de la VPN (opcional)

Si vols configurar la VPN manualment (sense utilitzar una aplicació), segueix aquests passos:

* Accedeix a la configuració del teu dispositiu mòbil. * Ves a Xarxes i Internet > VPN. * Afegeix una nova VPN amb aquests camps:

• Nom: Pots posar un nom descriptiu com VPN Segura.
• Tipus: Tria el protocol (per exemple, PPTP o L2TP/IPSec).
• Nom d'usuari i contrasenya: Introdueix les credencials que el servei VPN t’ha donat.
• Servidor: La IP o adreça del servidor VPN.

Un cop hagis completat la configuració, selecciona Connecta.

On trobar una adreça de servidor VPN?

* Proveïdors de VPN: Si utilitzes un proveïdor de VPN com NordVPN, ExpressVPN o ProtonVPN, aquests serveis et proporcionen adreces de servidors VPN. Quan t'hi subscrius, tens accés a una llista de servidors en diferents ubicacions arreu del món.

* VPNs gratuïtes: Alguns serveis VPN ofereixen servidors gratuïts, com:

• ProtonVPN (pla gratuït amb servidors després de registrar-se).
• VPN Gate (projecte gratuït amb llista de servidors VPN de voluntaris).

* Guies de configuració de serveis VPN: Molts proveïdors tenen una secció d'ajuda amb exemples de configuració manual i adreces de servidor.

* Servidors OpenVPN: Si utilitzes OpenVPN, pots trobar configuracions manuals i llistes de servidors a llocs com OpenVPN.net.

3. Verificació de la connexió VPN

Ara que la VPN està configurada i activa, comprovarem si funciona correctament:

* Obre el navegador al teu dispositiu i ves a whatismyip.com o iplocation.net. * Comprova la teva adreça IP.

 Si la VPN està funcionant, hauràs d’observar un canvi d’adreça IP respecte a la teva IP real.  
 La nova IP correspondrà al servidor VPN al qual t’has connectat.

Això vol dir que la VPN està protegint la teva connexió i que la teva ubicació està “amagada”.

Comprova també com algunes webs utilitzen la IP per localitzar-te: navega per diferents webs per observar com t’apareix publicitat del país on t’has connectat o altres indicacions de localització.

4. Verificació del xifratge de dades

Per assegurar-nos que les dades es transfereixen de manera xifrada:

* Navega fins a qualsevol lloc web que comenci amb https:. Els llocs amb HTTPS xifren les dades que envies, així que la combinació de VPN + HTTPS ofereix una protecció addicional. * Si utilitzes una aplicació VPN, comprova si pots veure les estadístiques de dades xifrades (la majoria de les aplicacions tenen aquesta opció dins de la configuració).

Què has d’entregar

Per completar l’activitat, hauràs de: * Fer una captura de pantalla del teu dispositiu amb la VPN activada i mostrar l’adreça IP (que hauria de ser la del servidor VPN, no la teva). * Escriure un breu informe explicant: * els passos que has seguit per configurar la VPN, * els resultats de la verificació (canvi d'adreça IP, publicitat d’un altre país, comprovació del xifratge), * amb captures de pantalla. També forma part de l’activitat resoldre les dificultats que et puguis trobar. Documenta pas a pas els errors que apareixen, les causes més probables i les solucions aplicades, amb captures de pantalla i explicacions pròpies.

Format d'entrega

El document s'ha d'entregar en format PDF amb el següent nom de fitxer: * C037_RA1_Pr02_Cognom1_Nom.pdf

Pràctica 3: Avaluar la seguretat d’una aplicació mòbil

Objectius d’aprenentatge

En finalitzar l’activitat, l’alumne ha de ser capaç de: * Analitzar una aplicació mòbil real identificant riscos i vulnerabilitats. * Detectar permisos excessius, absència de xifratge o problemes de privadesa. * Valorar el nivell de seguretat global d’una app mitjançant un mètode sistemàtic. * Justificar les seves conclusions amb arguments tècnics.

Metodologia

Treball en parelles o petits grups (2-3 alumnes). Cada grup escull una aplicació real per analitzar-la: pot ser una app coneguda (banc, xarxa social, missatgeria, joc…) o una app menys popular de la Play Store o App Store. —

Fase 1: Selecció i informació bàsica

Cada grup escull una aplicació i completa la fitxa inicial: ^ Dada ^ Informació ^ | Nom de l’aplicació | | | Desenvolupador | | | Categoria (banc, jocs, xarxes, utilitat…) | | | Sistema operatiu | Android / iOS | | Font d’instal·lació | Google Play / App Store / altra | | Data d’última actualització | | | Nombre de descàrregues (si es mostra) | | Objectiu: comprovar la fiabilitat bàsica de la font i del desenvolupador. —

Fase 2: Anàlisi de permisos i comportament

Aneu a: Configuració → Aplicacions → [Nom de l’app] → Permisos Apunteu tots els permisos que sol·licita i marqueu si són justificats. ^ Tipus de permís ^ És necessari? ^ Comentari ^ | Accés a la càmera | Sí / No | | | Accés a la ubicació | Sí / No | | | Accés als contactes | Sí / No | | | Micròfon | Sí / No | | | Emmagatzematge / fitxers | Sí / No | | | Altres (especificar) | Sí / No | | Reflexió guiada: * Necessita realment aquests permisos? * N’hi ha algun que resulti sospitós o invasiu? —

Fase 3: Privadesa i connexions

A. Política de privadesa

Busqueu la política de privadesa dins l’app o a la botiga. Respon: * És fàcilment accessible? * Indica quines dades recull i com s’utilitzen? * Permet controlar la recopilació de dades?

B. Connexió segura

Comproveu si l’app utilitza HTTPS/TLS: * A la fitxa de la botiga, menciona connexions segures? * Hi ha indicis d’enviament de dades en clar? Conclusió: Determineu si la comunicació sembla segura o vulnerable. —

Fase 4: Actualitzacions i manteniment

* Mireu la data de la darrera actualització. * Si és molt antiga (més d’un any), marqueu-ho com a risc potencial. * Comproveu comentaris d’usuaris que mencionin errors o fallades de seguretat. Objectiu: entendre que una app sense manteniment és un risc latent. —

Fase 5: Autenticació i accés

^ Funció ^ Disponible ^ Observacions ^ | 2FA | Sí / No | | | Biometria | Sí / No | | | Expiració de sessió | Sí / No | | —

Fase 6: Valoració global

Cada grup ha d’atorgar una nota de risc segons els criteris observats: ^ Àrea analitzada ^ Risc baix ^ Risc mitjà ^ Risc alt ^ | Permisos | ☐ | ☐ | ☐ | | Privadesa | ☐ | ☐ | ☐ | | Comunicació (xifratge) | ☐ | ☐ | ☐ | | Actualitzacions | ☐ | ☐ | ☐ | | Autenticació | ☐ | ☐ | ☐ | | Reputació de l’app | ☐ | ☐ | ☐ | Valoració final: “Considerem que l’app té un nivell de seguretat global [baix / mitjà / alt] perquè…” —

Fase 7: Posada en comú i debat

Cada grup explica breument: * Quina app ha analitzat. * Quines vulnerabilitats o bones pràctiques han trobat. * Quines recomanacions donarien a un usuari per utilitzar-la amb seguretat. Debat final: * Quines apps aparentment “innocents” resulten més invasives? * Quins permisos són més crítics (micròfon, ubicació, contactes…)? * Per què algunes apps amb milions d’usuaris continuen tenint males pràctiques? —

Resultat esperat

* Fitxa d’anàlisi completada (una per grup). * Presentació oral breu o debat a classe. * Conclusions sobre bones pràctiques en la instal·lació d’apps.

Eines suggerides

* Dispositiu Android/iOS (real o emulat). * Play Store / App Store. * Aplicacions d’anàlisi: MobSF (PC), APK Analyzer, Packet Capture. * Navegador per consultar polítiques de privadesa. —

Avaluació de l’activitat

^ Criteri ^ Puntuació màxima ^ Descripció ^ | Identificació d’elements clau de seguretat | 3 punts | Permisos, xifratge, autenticació | | Capacitat d’anàlisi i justificació | 3 punts | Argumentació coherent i tècnica | | Presentació i claredat del resultat | 2 punts | Fitxa completa, exposició breu | | Participació i treball en equip | 2 punts | Implicació i col·laboració | Total: 10 punts —

Format d'entrega

Lliurament per part d’un representant del grup, indicant el nom de tots els integrants. El document s'ha d'entregar en format PDF amb el següent nom de fitxer: * C037_RA1_Pr03_NomApp.pdf''