ES2916083T3 - Gestión de una visualización de una vista de una aplicación en una pantalla de un dispositivo electrónico de entrada de datos, método, dispositivo y producto de programa informático correspondientes - Google Patents
Gestión de una visualización de una vista de una aplicación en una pantalla de un dispositivo electrónico de entrada de datos, método, dispositivo y producto de programa informático correspondientes Download PDFInfo
- Publication number
- ES2916083T3 ES2916083T3 ES16769945T ES16769945T ES2916083T3 ES 2916083 T3 ES2916083 T3 ES 2916083T3 ES 16769945 T ES16769945 T ES 16769945T ES 16769945 T ES16769945 T ES 16769945T ES 2916083 T3 ES2916083 T3 ES 2916083T3
- Authority
- ES
- Spain
- Prior art keywords
- application
- current view
- electronic data
- data entry
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/84—Protecting input, output or interconnection devices output devices, e.g. displays or monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- User Interface Of Digital Computer (AREA)
- Storage Device Security (AREA)
- Controls And Circuits For Display Device (AREA)
Abstract
Método de gestión de una visualización de una vista de una aplicación (AppC), ejecutándose dicha aplicación (AppC) en un procesador no asegurado (PNS) de un dispositivo electrónico de entrada de datos que comprende, además, un procesador asegurado, proporcionando dicha aplicación (AppC) al menos una vista corriente (VC), que comprende un conjunto de píxeles, para ser visualizada en una pantalla de dicho dispositivo, comprendiendo dicho método, bajo el control de dicho procesador asegurado, una etapa de análisis (AN) de dicha vista corriente (VC), que proporciona al menos un dato representativo de una presencia de al menos un motivo sospechoso, siendo puesta en práctica dicha etapa de análisis (AN) por un servidor distante con el que dicho procesador asegurado es capaz de comunicarse por medio de una red de comunicación y/o por dicho procesador asegurado del dispositivo electrónico de entrada de datos, caracterizándose dicho método porque dicha etapa de análisis se pone en práctica cuando se verifica una de las condiciones siguientes: - dicha aplicación está ausente de una lista de aplicaciones de confianza predefinidas; - dicha aplicación está presente dentro de dicha lista de aplicaciones de confianza predefinidas, y dicha vista corriente está ausente de una lista de vistas conocidas para dicha aplicación; y caracterizándose, además, dicho método porque comprende, cuando se detecta una presencia de al menos un motivo sospechoso dentro de dicha vista corriente (VC), una etapa de puesta en práctica (PT), por parte del procesador asegurado, de al menos una medida de protección.
Description
DESCRIPCIÓN
Gestión de una visualización de una vista de una aplicación en una pantalla de un dispositivo electrónico de entrada de datos, método, dispositivo y producto de programa informático correspondientes
1. CAMPO DE LA INVENCIÓN
El campo de la invención es el de los dispositivos electrónicos de entrada de datos utilizados para realizar operaciones que hacen intervenir o se refieran a objetos de carácter confidencial. A modo ilustrativo, se pueden mencionar las operaciones de pago que implican un número de tarjeta bancaria o que se relacionan con la entrada de un código confidencial asociado a una tarjeta de pago. Otras operaciones tales como, por ejemplo, operaciones de carácter médico o civil, que se refieren a datos biológicos o patrimoniales específicos de un individuo, también son objeto de esta técnica.
2. TÉCNICA ANTERIOR
Algunos dispositivos electrónicos de entrada de datos, tales como, por ejemplo, los terminales de pago, están específicamente diseñados, tanto a nivel de hardware como de software, para ofrecer la protección más óptima posible de los datos confidenciales que sean susceptibles de ser introducidos en los mismos. Esta protección contra intrusiones o ataques se puede lograr en varios niveles. A nivel de la constitución física del dispositivo electrónico de entrada de datos, su marco puede consistir, por ejemplo, en una caja a prueba de manipulaciones, resistente a la intrusión ("tamper résistant" en inglés), o que deje rastros visibles de cualquier intento de sabotaje (''tamper evident" en inglés), o también proporcionando una respuesta adaptada a una detección de intrusión ("tamper responsive" en inglés). El uso de circuitos electrónicos grabados en masa o multicapa también permite proporcionar una mayor seguridad al dispositivo, al complicar enormemente la tarea de personas malintencionadas que intentaren interceptar datos confidenciales mediante sondas colocadas en algunas conexiones del dispositivo. A nivel de la constitución funcional del dispositivo, los datos sensibles por lo general están cifrados y su procesamiento está sujeto a protocolos criptográficos. Por último, a nivel de software, se suele preferir utilizar componentes capaces de ser puestos en práctica únicamente dentro de procesadores asegurados inaccesibles a terceros.
Una contrapartida de este alto nivel de seguridad es que la flexibilidad de uso que ofrecen dichos dispositivos sigue siendo limitada. Tener una aplicación certificada para que pueda ser autorizada para ejecutarse en el procesador asegurado del dispositivo suele llevar mucho tiempo y ser engorroso. En un mundo rico en diversos equipos electrónicos tales como teléfonos móviles, asistentes personales o microordenadores, se siente la necesidad de una flexibilidad comparable para los dispositivos de entrada de datos destinados a ser utilizados para realizar operaciones que impliquen o se relacionen con objetos de naturaleza confidencial, también denominados dispositivos asegurados. Se sabe que los sistemas operativos comúnmente denominados abiertos ofrecen una gran cantidad de aplicaciones útiles y fáciles de utilizar que es interesante poder poner en práctica para satisfacer esta necesidad de flexibilidad en dispositivos asegurados. Además, cada vez más dispositivos electrónicos de entrada de datos asegurados incluyen, además, del procesador asegurado, un procesador no asegurado capaz de ejecutar aplicaciones de terceros, por ejemplo, descargables desde una plataforma de distribución puesta a disposición por el fabricante del dispositivo. Esta apertura a aplicaciones de software distintas de las que son estrictamente seguras tiene el inconveniente de poner en peligro de manera potencial la seguridad de los datos introducidos en el dispositivo asegurado. De este modo, una aplicación maliciosa (o contaminada por secuencias de ejecución maliciosas) podría espiar y traicionar los métodos seguros de los equipos, con el objetivo de recuperar información confidencial. Una aplicación maliciosa también podría imitar la apariencia de una aplicación legítima (por ejemplo, una aplicación de pago) con el fin de engañar a un usuario y así recuperar su información confidencial.
Si bien el público en general comienza a ser consciente de la existencia de estas técnicas fraudulentas en los terminales personales de comunicación (tabletas, teléfonos inteligentes, microordenadores, etc.), no necesariamente tienen el mismo nivel de vigilancia frente a más dispositivos especializados (tales como terminales de pago) que, sin embargo, forman parte integral de su vida diaria, pero que asume como seguros por la naturaleza de las transacciones que se procesan de forma rutinaria en dicho dispositivo. De este modo, el usuario tiende a depositar su confianza en ellos de forma más natural, aunque el riesgo de robo de datos confidenciales sigue presente.
Existe, por tanto, una necesidad de ofrecer dispositivos electrónicos de entrada de datos que incluyan medios que permitan evitar o ralentizar los intentos de recuperación fraudulenta de datos confidenciales.
El documento de la técnica anterior US2014/0108820-A1 da a conocer un método en donde la comunicación segura de entrada de un usuario se lleva a cabo aislando una parte del dispositivo del usuario para proteger los certificados y las claves de cifrado contra ataques externos. El documento de la técnica anterior WO2008/114257-A2 da a conocer un método para detectar un ataque a una sesión de comunicación.
3. SUMARIO DE LA INVENCIÓN
La técnica propuesta ofrece una solución que no presenta al menos algunos de estos problemas de la técnica anterior, gracias a un método original de gestión de una visualización de una vista de una aplicación ejecutada en un procesador no asegurado de un dispositivo electrónico de entrada de datos, que comprende, además, un procesador asegurado. La aplicación considerada entrega al menos una vista corriente, que comprende un conjunto de píxeles, para ser visualizada en una pantalla de dicho dispositivo. Según un primer aspecto de la técnica propuesta, este método de gestión de una visualización de una vista se pone en práctica bajo el control del procesador asegurado y comprende:
- una etapa de análisis de dicha vista corriente, que proporciona al menos un dato representativo de una presencia de al menos un motivo sospechoso;
- cuando se detecta una presencia de al menos un motivo sospechoso dentro de dicha vista corriente, se aplica una etapa de puesta en práctica, por el procesador asegurado, de al menos una medida de protección.
De este modo, la etapa de análisis permite identificar, dentro de una vista corriente generada por una aplicación que se ejecuta en el procesador no asegurado y destinada a ser visualizada en una pantalla de un dispositivo electrónico de entrada de datos, motivos (es decir, elementos gráficos) susceptibles de plantear un problema de seguridad, por ejemplo, porque incitan al usuario de dicho dispositivo a facilitar una información sensible. La etapa de poner en práctica medidas de protección permite entonces que el procesador asegurado despliegue medios destinados a evitar la recuperación de dicha información sensible por parte de esta aplicación potencialmente fraudulenta.
En una forma de realización particular de la técnica propuesta, la etapa de análisis de la vista corriente comprende:
- una etapa de búsqueda dentro de dicho conjunto de píxeles de dicha vista corriente (VC), de al menos un motivo gráfico, que proporciona un conjunto de motivos reconocidos; y/o
- una etapa de reconocimiento de caracteres realizada en dicha vista corriente, que proporciona o completa un conjunto de motivos reconocidos; y
- una etapa de búsqueda, dentro de dicho conjunto de motivos reconocidos, de al menos un motivo sospechoso.
De este modo, las técnicas de reconocimiento automatizado permiten establecer una cartografía real de la vista corriente, con el fin de detectar en ella palabras o grupos de palabras (reconocimiento de caracteres), pero también categorías de objetos (reconocimiento de imágenes y técnicas de clasificación). De esta manera, esta información en bruto (en el sentido de que tiene la forma, en primer lugar, de simples conjuntos de píxeles) se traduce en datos textuales más fácilmente utilizables por un ordenador. Estos datos textuales forman un conjunto de motivos reconocidos, dentro del cual es entonces posible buscar motivos sospechosos, por diversos medios.
En una forma de realización particular de la técnica propuesta, la etapa de análisis de la vista corriente se realiza después de la visualización de esta vista corriente en la pantalla del dispositivo electrónico de entrada de datos.
De este modo, el usuario se beneficia de una rápida visualización de la vista corriente en la pantalla del dispositivo electrónico de entrada de datos, realizándose el análisis de esta vista después de su visualización. Por lo tanto, la visualización de la vista generada no se retrasa por ningún tiempo de análisis que pueda causar latencias, ralentizaciones o poner en suspensión la aplicación ejecutada en el procesador no asegurado.
En otra forma de realización particular de la técnica propuesta, la etapa de análisis de la vista corriente se realiza previamente a la visualización de esta vista corriente en la pantalla del dispositivo electrónico de entrada de datos.
De esta manera, el procesador asegurado puede poner en práctica medidas de protección en relación con una vista corriente sospechosa incluso antes de que esta última sea posiblemente visualizada en una pantalla del dispositivo electrónico de entrada de datos. La etapa de análisis la vista corriente se realiza así, por ejemplo, en una vista virtual mostrada en una memoria intermedia de vídeo asociada con el procesador asegurado, en lugar de directamente en la pantalla del dispositivo electrónico de entrada de datos. El procesador asegurado puede entonces, por ejemplo, tomar la decisión de bloquear la visualización de la vista sospechosa, o incluso prever la visualización de una versión expurgada de la vista corriente, dentro de la cual se han borrado los motivos sospechosos.
En una forma de realización particular de la técnica propuesta, la etapa de análisis de la vista corriente es puesta en práctica por el procesador asegurado del dispositivo electrónico de entrada de datos.
De esta forma, todo el método de gestión de una visualización de una vista puede ser realizado por el procesador asegurado del dispositivo electrónico de entrada de datos, sin tener que recurrir a ningún recurso externo. De este modo, este dispositivo electrónico de entrada de datos es autónomo para la puesta en práctica del método y, por lo tanto, no depende de la disponibilidad de recursos externos que, en caso de faltar, pueden comprometer la seguridad del dispositivo electrónico de entrada de datos.
En otra forma de realización particular de la técnica propuesta, la etapa de análisis de la vista corriente es puesta en práctica por un servidor distante, con el que dicho procesador asegurado es capaz de comunicarse mediante una red de comunicación.
De este modo, la etapa de análisis de la vista corriente puede delegarse en un elemento externo al dispositivo electrónico de entrada de datos, que suele disponer de recursos superiores a los disponibles dentro del dispositivo electrónico de entrada de datos. Por ejemplo, tiene procesadores más potentes que el procesador asegurado integrado en el dispositivo electrónico de entrada de datos. De esta forma, la etapa de análisis de la vista corriente se puede realizar de forma más rápida o exhaustiva que si lo hubiera puesto en práctica el procesador asegurado.
En otra forma de realización particular de la técnica propuesta, la etapa de análisis de la vista corriente generada por la aplicación ejecutada en el procesador no asegurado se pone en práctica cuando se verifica una de las siguientes condiciones:
- dicha aplicación está ausente de una lista de aplicaciones de confianza predefinidas;
- dicha aplicación está presente dentro de esta lista de aplicaciones de confianza predefinidas, y dicha vista corriente está ausente de una lista de vistas conocidas para dicha aplicación.
De esta forma, solamente se someten a la etapa de análisis las vistas de las aplicaciones desconocidas o las vistas desconocidas de una aplicación conocida. De este modo, las aplicaciones fiables (que son, por ejemplo, aplicaciones conocidas y cuyas vistas han sido previamente declaradas a nivel del procesador asegurado) no se ven penalizadas por ningún efecto secundario de la puesta en práctica del método de gestión de una visualización descrita. Dichos efectos secundarios pueden consistir, por ejemplo, en ralentizaciones, latencias o tiempos de suspensión de la aplicación, en particular durante el tiempo necesario para la ejecución de la etapa de análisis de una vista (por ejemplo, porque la fase de análisis moviliza una gran cantidad de recursos del dispositivo electrónico de entrada de datos, o porque la aplicación ejecutada en el procesador no asegurado se restringe de manera deliberada mientras no finaliza esta fase de análisis).
En una forma de realización particular de la técnica propuesta, dicha al menos una medida de protección puesta en práctica por el procesador asegurado cuando se detecta la presencia de al menos un motivo sospechoso dentro de la vista corriente, pertenece al grupo que comprende:
- no mostrar dicha vista corriente en la pantalla de dicho dispositivo electrónico de entrada de datos;
- borrar u oscurecer al menos una parte de dicha vista corriente, en la pantalla de dicho dispositivo electrónico de entrada de datos;
- la no transmisión, a dicha aplicación, de los datos introducidos por el usuario en relación con dicha vista corriente;
- bloquear dicha aplicación;
- el bloqueo de dicho dispositivo electrónico de entrada de datos.
De este modo, el procesador asegurado dispone de diferentes medios, que pueden utilizarse solos o de forma complementaria, para evitar que una aplicación que se ejecuta a nivel del procesador no asegurado de un dispositivo electrónico de entrada de datos recupere datos sensibles de un usuario. Estos medios se basan, en particular, en dos palancas de acción principales: la eliminación de todo incentivo para introducir datos confidenciales, por un lado, y el bloqueo de los medios que permiten introducir dichos datos o transmitirlos a la aplicación sospechosa, por otro lado.
En otra forma de realización particular de la técnica propuesta, el procesador asegurado intercepta, dentro de una memoria segura, cualquier entrada realizada por el usuario en dicho dispositivo electrónico de entrada de datos durante todo el tiempo de ejecución de dicha etapa de análisis de la vista corriente.
De este modo, ningún dato introducido por el usuario se transmite a la aplicación que se ejecuta en el procesador no asegurado del dispositivo electrónico de entrada de datos, siempre que la etapa de análisis de vista corriente generada por esta aplicación no esté completa. De esta forma, se asegura que los datos introducidos por el usuario del dispositivo electrónico de entrada de datos sean seguros, incluso durante el período transitorio cuando aún no se ha establecido el carácter sospechoso, o no, de la vista corriente.
En una forma de realización particular de la técnica propuesta, el dispositivo electrónico de entrada de datos es un terminal de pago.
Según otro aspecto, la técnica propuesta también se refiere a un dispositivo electrónico de entrada de datos que comprende un procesador no asegurado y un procesador asegurado, y que comprende medios de gestión de una
visualización de una vista de una aplicación ejecutada en el procesador no asegurado, que proporciona dicha aplicación al menos una vista corriente, que comprende un conjunto de píxeles, para ser visualizada en una pantalla de dicho dispositivo. Dicho dispositivo electrónico de entrada de datos comprende, bajo el control del procesador asegurado:
- medios de análisis de dicha vista corriente, capaces de entregar al menos un dato representativo de una presencia de al menos un motivo sospechoso;
- medios para aplicar al menos una medida de protección.
Según una puesta en práctica preferida, las diferentes etapas del método de gestión de una visualización de una vista según la técnica propuesta son puesta en prácticas por uno o más software o programas informáticos, que comprenden instrucciones de software destinadas a ser ejecutadas por un procesador de datos según la técnica propuesta y estando diseñado para controlar la ejecución de las diversas etapas de los métodos.
En consecuencia, la técnica propuesta también se refiere a un programa, capaz de ser ejecutado por un ordenador o por un procesador de datos, y en particular, un procesador asegurado, comprendiendo este programa instrucciones para controlar la ejecución de las etapas de un método tal como se mencionó con anterioridad.
Este programa puede utilizar cualquier lenguaje de programación y estar en forma de código fuente, código objeto o código intermedio entre el código fuente y el código objeto, tal como en una forma parcialmente compilada, o en ninguna otra forma deseable.
La técnica propuesta también está dirigida a un soporte de información legible por un procesador de datos, y que comprende instrucciones de un programa tal como se mencionó con anterioridad.
El soporte de información puede ser cualquier entidad o dispositivo capaz de almacenar el programa. Por ejemplo, el soporte puede comprender un medio de almacenamiento, tal como una memoria ROM, por ejemplo, un CD ROM o una memoria ROM de circuito microelectrónico, o bien un medio de registro magnético, por ejemplo, un disquete (floppy disc, en inglés) o un disco duro.
Por otro lado, el soporte de información puede ser un medio transmisible tal como una señal eléctrica u óptica, que puede transmitirse a través de un cable eléctrico u óptico, por radio o por otros medios. El programa según la técnica propuesta se puede telecargar en particular en una red de tipo Internet.
De manera alternativa, el soporte de información puede ser un circuito integrado en donde se incorpora el programa, estando el circuito adaptado para ejecutar o para ser utilizado en la ejecución del método en cuestión.
Según una forma de realización, la técnica propuesta se pone en práctica mediante componentes de software y/o hardware. Desde esta perspectiva, el término "módulo" puede corresponder en este documento a un componente de software, a un componente de hardware o a un conjunto de componentes de hardware y de software.
Un componente de software corresponde a uno o más programas informáticos, uno o más subprogramas de un programa, o de manera más general, a cualquier elemento de un programa o software capaz de poner en práctica una función o un conjunto de funciones, tal como se describe a continuación para el módulo en cuestión. Dicho componente de software es ejecutado por un procesador de datos de una entidad física (terminal, servidor, pasarela, enrutador, etc.) y es probable que acceda a los recursos de hardware de esta entidad física (memorias, medios de grabación, bus de comunicación, tarjetas electrónicas de entrada/salida, interfaces de usuario, etc.).
Del mismo modo, un componente de hardware corresponde a cualquier elemento de un conjunto material (o de hardware) capaz de poner en práctica una función o un conjunto de funciones, según lo que se describa a continuación para el módulo en cuestión. Puede ser un componente de hardware que se pueda programar o que tenga un procesador integrado para ejecutar software, por ejemplo, un circuito integrado, una tarjeta con circuito impreso, una tarjeta de memoria, una tarjeta electrónica para ejecutar un microsoftware (firmware), etc.
Por supuesto, cada componente del sistema descrito con anterioridad pone en práctica sus propios módulos de software.
Las diversas formas de realización mencionadas con anterioridad se pueden combinar entre sí para la puesta en práctica de la invención.
4. LISTA DE LAS FIGURAS
Otras características y ventajas de la invención aparecerán más claramente con la lectura de la siguiente descripción de una forma de realización preferente de la técnica propuesta, dada a título de ejemplo sencillo, ilustrativo y no limitativo, y los dibujos adjuntos, entre los cuales:
- la Figura 1 describe un ejemplo de dispositivo electrónico de entrada de datos capaz de poner en práctica la técnica propuesta, en una forma de realización;
- la Figura 2 ilustra las etapas puestas en práctica bajo el control de un procesador asegurado de un dispositivo electrónico de entrada de datos, para llevar a cabo el método de gestión de una visualización de una vista de una aplicación, según una forma de realización particular de la técnica propuesta;
- la Figura 3 describe una arquitectura simplificada de un entorno de ejecución seguro que comprende un procesador asegurado, dentro del cual se puede poner en práctica el método de gestión de una visualización de una vista de una aplicación, según una forma de realización particular de la técnica propuesta.
5. DESCRIPCIÓN DETALLADA
5.1 Contexto general
La técnica propuesta se aplica, más en particular, a los dispositivos electrónicos de entrada de datos que comprenden dos procesadores, un procesador asegurado y un procesador no asegurado. El procesador asegurado tiene acceso a una memoria segura y, por lo tanto, la combinación de estos dos elementos forma un entorno de ejecución seguro dentro del dispositivo. Por entorno de ejecución seguro se entiende seguridad que puede ser tanto de hardware como de software, con, en particular, la puesta en práctica de las diversas técnicas de protección presentadas en relación con la técnica anterior (constitución física de la caja de protección de los componentes seguros, circuitos electrónicos integrados en la masa o en multicapas, cifrado de datos, etc.). Esta seguridad también se basa en el uso, a nivel de procesador asegurado, de un sistema operativo seguro, en el sentido de que dispone de un conjunto de medios (de control, de restricción de acceso, criptográfico, etc.) que se supone que lo hacen menos vulnerable. y protegerlo de manera eficaz contra los diferentes tipos de ataques que podría sufrir. Por el contrario, el sistema operativo puesto en práctica dentro del procesador no asegurado del dispositivo electrónico de entrada de datos es un sistema que puede calificarse como un "sistema abierto", en el sentido de que los accesos suficientes a este sistema están ampliamente distribuidos, lo que favorece el desarrollo de muchas aplicaciones. Por lo tanto, la noción de sistema operativo abierto abarca no solamente los sistemas operativos verdaderamente abiertos, tales como los sistemas UNIX y LINUX originales, sino también los sistemas con una amplia distribución comercial, como las diferentes versiones de Microsoft Windows™. La ventaja de estos dispositivos, que incluyen tanto un procesador asegurado como un procesador no asegurado, reside en su capacidad para poner en práctica no solamente aplicaciones seguras, en el sentido de que la mayoría de las veces han sido certificadas por una organización fiable y que están autorizadas para ser ejecutadas por el procesador asegurado, pero también aplicaciones de terceros, no necesariamente certificadas. Estas aplicaciones de terceros, ejecutadas por el procesador no asegurado, permiten enriquecer la experiencia del usuario y abrir el dispositivo a nuevas funcionalidades. Un dispositivo electrónico de entrada de datos (10) de este tipo, tal como existe en la técnica anterior, se presenta en relación con la Figura 1. Dicho dispositivo (10) por lo general comprende una pantalla (11) que permite mostrar la interfaz gráfica de una aplicación ejecutada dentro del dispositivo, y un teclado (12) que permite al usuario interactuar con dicha aplicación.
En dicho dispositivo electrónico de entrada de datos (10), las aplicaciones seguras son puestas en práctica por un procesador asegurado (PS), mientras que las aplicaciones de terceros, no aseguradas, son puestas en práctica por un procesador no asegurado (PNS). El procesador no asegurado (PNS) por lo general se coloca bajo el control del procesador asegurado (PS), en una relación de tipo maestro-esclavo. En particular, cualquier dato que se origine o esté destinado al procesador no asegurado (PNS) pasa a través del procesador asegurado (PS). En este contexto, el procesador asegurado (PS) es en particular capaz de interceptar cualquier dato introducido por un usuario en el teclado (12) de dicho dispositivo, incluso si la entrada de estos datos ha sido solicitada por una aplicación de terceros ejecutada por el procesador no asegurado (PNS). De manera similar, todas las vistas sucesivas generadas por una aplicación que se ejecuta en el procesador no asegurado (PNS) pasan por el procesador asegurado (PS). También el procesador asegurado (PS) es capaz de operar un control de estas vistas, que están destinadas a ser mostradas en la pantalla (11) del dispositivo y que constituyen la interfaz de esta aplicación con el usuario. Entre estas vistas, la vista corriente se puede definir como un conjunto de píxeles que una aplicación busca, en un momento considerado de su ejecución, que se muestren en la pantalla del dispositivo electrónico de entrada de datos. Esta vista puede resultar de colocar un conjunto de objetos en la memoria de vídeo, por ejemplo, multimedia (texto, imagen). Cuando dicho dispositivo electrónico de entrada de datos (10) se utiliza para realizar una transacción segura que implique la entrada de datos confidenciales (por ejemplo, una transacción de pago), los medios de interacción del dispositivo con un usuario (tales como la pantalla (11), el teclado (12), un lector de tarjetas, etc.) pasen enteramente bajo el control del procesador asegurado (PS). El procesador no asegurado (PNS) ya no está autorizado para interactuar con estos elementos, lo que garantiza una seguridad reforzada para estas operaciones sensibles, ya que solamente las aplicaciones certificadas ejecutadas a nivel del procesador asegurado (PS) tienen entonces la posibilidad de acceder a los datos intercambiados.
El dispositivo presentado en relación con la Figura 1, que incluye un teclado físico, se proporciona a título meramente ilustrativo y no limitativo. Un dispositivo electrónico de entrada de datos puede comprender, de manera alternativa o como complemento, una pantalla táctil. También sucede que el dispositivo electrónico de entrada de datos comprende
únicamente un único procesador principal, capaz de desempeñar de manera sucesiva la función de procesador asegurado por un lado y de procesador no asegurado por el otro. En este caso, el entorno de ejecución seguro se concreta en un modo de ejecución específico de este procesador principal del dispositivo electrónico de entrada de datos.
La técnica aquí propuesta se refiere a la prevención y seguimiento de intentos de usurpación y robo de información por parte de aplicaciones fraudulentas que imitan la apariencia visual de aplicaciones legítimas. Es decir, pretende evitar que una aplicación maliciosa que se ejecuta en el procesador no asegurado de un dispositivo electrónico de entrada de datos logre engañar a un usuario, imitando la apariencia visual de otra aplicación, por ejemplo, reproduciendo la interfaz gráfica de una aplicación de pago legítima y certificada que suele ejecutarse de manera tradicional en el procesador asegurado del dispositivo. Por lo tanto, el principio general de la técnica propuesta consiste, por un lado, en detectar posibles intentos de phishing en relación con una vista corriente generada por una aplicación y, por otro lado, si fuere necesario, en poner en práctica contramedidas destinadas a proteger al usuario del dispositivo electrónico de entrada de datos, impidiendo a la aplicación recuperar datos potencialmente confidenciales de este usuario.
5.2 Método
La técnica propuesta pone en práctica, a nivel del procesador asegurado de un dispositivo electrónico de entrada de datos, un control de las vistas generadas por una aplicación ejecutada a nivel del procesador no asegurado, con el fin de determinar si estas vistas incluyen motivos considerados sospechosos. Si este es el caso, la aplicación es potencialmente fraudulenta, y conviene poner en práctica medidas de protección de datos que un usuario podría estar obligado a proporcionar en relación con esta aplicación. Un motivo sospechoso significa cualquier elemento de la interfaz gráfica (texto o imágenes, por ejemplo), o cualquier combinación de dichos elementos de la interfaz gráfica, que probablemente plantee un problema de seguridad al incitar al usuario a proporcionar información confidencial. Una etiqueta que solicita al usuario que introduzca un código de identificación personal es un ejemplo simple de un motivo sospechoso. Otros ejemplos se proporcionan más adelante en este documento. Por lo tanto, la puesta en práctica del método propuesto deberá permitir asegurar la interfaz presentada al usuario en la pantalla del dispositivo electrónico de entrada de datos, en el sentido de que evita que una aplicación sospechosa recupere datos sensibles del usuario. Por tanto, la técnica propuesta se refiere a un método de gestión de una visualización de una vista de una aplicación ejecutada en el procesador no asegurado de un dispositivo electrónico de entrada de datos.
En relación con la Figura 2, se describen las etapas puestas en práctica a nivel del procesador asegurado de un dispositivo electrónico de entrada de datos, para llevar a cabo el método de gestión de la visualización de una vista, según una forma de realización particular de la técnica propuesta. Una aplicación (AppC) se está ejecutando dentro del procesador no asegurado (PNS) del dispositivo electrónico de entrada de datos, y solicita la visualización de una de sus vistas, denominada vista corriente (VC), en la pantalla de dicho dispositivo.
El método propuesto de gestión de una visualización de una vista se pone en práctica bajo el control del procesador asegurado y consta de dos etapas principales:
- una etapa de análisis (AN) de la vista corriente (VC), que proporciona al menos un dato representativo de una presencia de al menos un motivo sospechoso;
- cuando se detecta una presencia de al menos un motivo sospechoso dentro de dicha vista corriente (VC), se realiza una etapa de puesta en práctica (PT), por parte del procesador asegurado, de al menos una medida de protección.
La etapa de análisis (AN) de la vista corriente (VC) tiene así como objetivo detectar, dentro de esta vista (VC), al menos un motivo sospechoso, susceptible, por ejemplo, de plantear un problema de seguridad al incitar al usuario a proporcionar información sensible, mientras que la etapa de poner en práctica (PT) al menos una medida de protección tiene como objetivo evitar, en su caso, la recuperación de dicha información sensible por parte de la aplicación (AppC) ejecutada en el procesador no asegurado del dispositivo electrónico de entrada de datos.
En la forma de realización particular de la técnica propuesta expuesta en la Figura 2, se realiza una etapa adicional, denominada etapa de confrontación (WL), previa a las dos etapas principales (AN, PT) ya presentadas. Esta etapa de confrontación (WL), opcional, se utiliza para confrontar la aplicación (AppC) y luego la vista corriente (VC) generada por esta aplicación con listas blancas (o “whitelist” en inglés), para establecer si se debe poner en práctica la etapa de análisis (AN) para la vista corriente (VC). Este mecanismo permite no penalizar aplicaciones legítimas y conocidas, al eximirlas de tener que enviar a la fase de análisis (AN) las vistas que generan, susceptibles de provocar latencias, ralentizaciones o suspensión de la aplicación (AppC) para el tiempo de ejecución de esta fase de análisis (AN).
A lo largo del resto del documento, la etapa de confrontación (WL) con las listas blancas y las dos etapas principales - etapa de análisis (AN) de la vista corriente y etapa de puesta en práctica (PT) de medidas de protección - se denominan, de manera indistinta, como "etapa" o "fase". El término "fase" se favorece particularmente con fines de claridad, con el fin de distinguir mejor estas etapas de las etapas que las componen.
5.2.1 Fase de confrontación con listas blancas (WL)
En una forma de realización particular de la técnica propuesta, las listas blancas mencionadas con anterioridad en relación con la fase de confrontación (WL) pueden tomar la forma de una estructura de datos, tal como una base de datos, que enumera las denominadas aplicaciones de confianza, así como vistas conocidas asociadas con cada una de estas aplicaciones de confianza. Dicha base de datos es actualizada, por ejemplo, por el fabricante del dispositivo electrónico de entrada de datos. En una etapa de comparación 21 de esta fase (WL), se realiza una comparación de la aplicación (AppC) con la lista de aplicaciones de confianza. Esta etapa de comparación 21 se puede realizar sobre la base de diferentes criterios, por ejemplo, un nombre o un identificador de aplicación. Cuando la aplicación (AppC) está ausente de la lista de aplicaciones de confianza, sus vistas se analizan de manera sistemática y, por lo tanto, se pone en práctica la fase de análisis (AN) de la vista corriente (VC). Si, por el contrario, la aplicación (AppC) está presente en la lista de aplicaciones fiables, la vista corriente (VC) se compara, en una etapa de comparación 22, con la lista de vistas conocidas para la aplicación fiable considerada. En este caso, de nuevo, esta etapa de comparación 22 entre una vista corriente y vistas conocidas se puede realizar sobre la base de diferentes criterios, por ejemplo, sobre la base de un identificador de vista o sobre la base de técnicas probadas de comparación de imágenes (análisis colorimétrico, análisis espacial, etc..). Cuando la vista corriente (VC) está presente en la lista de vistas conocidas para la aplicación fiable considerada, esta vista corriente se muestra en la pantalla del dispositivo electrónico de entrada de datos sin que se aplique la fase de análisis (AN). De hecho, en este caso, se considera que la vista corriente (VC) es fiable y que puede ser presentada al usuario, a través de su visualización en la pantalla del dispositivo electrónico de entrada de datos, sin que sea necesario realizar controles suplementarios. Si, por el contrario, la vista corriente (VC) está ausente de la lista de vistas conocidas, se pone en práctica la fase de análisis (AN) de esta vista corriente (VC).
Conviene señalar que también se pueden contemplar otros usos de la base de datos que enumera aplicaciones de confianza y de vistas conocidas, en otras formas de realización particulares de la técnica propuesta. Por ejemplo, esta base de datos se puede utilizar para detectar imitaciones, es decir, aplicaciones que imitan la apariencia de aplicaciones legítimas. En particular, se puede considerar que una aplicación determinada es potencialmente una imitación de una aplicación legítima si esta aplicación no forma parte de la lista de aplicaciones de confianza, pero que algunas de las vistas que genera son similares a las vistas presentes en la lista de vistas conocidas, quedando confundidas todas las aplicaciones. Si este es el caso, entonces se pueden poner en práctica las medidas de protección de datos del usuario, descritas más adelante en relación con la fase (PT).
En otra forma de realización particular adicional de la técnica propuesta, no se realiza la etapa 22 de comparar la vista corriente (VC) con una lista de vistas conocidas para la aplicación de confianza considerada, y se considera que el mero hecho de que la aplicación (AppC) es una aplicación fiable es suficiente para eximir cualquier vista generada por esta aplicación de la fase de análisis (AN).
5.2.2 Fase de análisis (AN)
Se presenta, también en relación con la Figura 2, las diferentes etapas puestas en práctica durante la etapa principal de análisis (AN) de la vista corriente (VC) generada por la aplicación (AppC).
En una etapa de cartografía 23 de la vista corriente (VC), esta última se somete a varios procesamientos para identificar motivos conocidos en la misma, por ejemplo, letras del alfabeto que forman palabras o grupos de palabras, o incluso objetos conocidos y, por lo tanto, categorizables. De este modo, esta etapa de cartografía 23 de la vista corriente (VC) puede comprender, en particular, una etapa de reconocimiento de caracteres 23a (por ejemplo, reconocimiento óptico de caracteres - por OCR en inglés, "Optical Character Recognition"). De manera alternativa, o complementaria, esta etapa de cartografía 23 también puede incluir una etapa de búsqueda 23b, dentro del conjunto de píxeles que forman la vista corriente (VC), de al menos un motivo gráfico, mediante, por ejemplo, una coincidencia estadística de un elemento de imagen con un glifo conocido. Estas técnicas de reconocimiento automatizado (técnicas de reconocimiento de caracteres y técnicas de clasificación) permiten, en particular, traducir imágenes en datos textuales, que son más fácilmente utilizables por un ordenador. De este modo, esta etapa de cartografía 23 permite extraer de la vista corriente (VC) un conjunto de motivos reconocidos, consistentes, por ejemplo, en datos textuales representativos o en palabras (o grupo de palabras) presentes en la vista corriente (VC), o de categorías de objetos presentes en particular en forma de imagen en la vista corriente (VC).
Los elementos de este conjunto de motivos reconocidos se someten a continuación, solos o en combinación, a una etapa de búsqueda 24 de motivos sospechosos. Un motivo sospechoso es un elemento visual de la aplicación (es decir, un elemento de la interfaz gráfica de una vista corriente de la aplicación), que se toma prestado de una aplicación legítima (similitud visual), y que tiene, por ejemplo, la particularidad de ser representativa de una incitación, emitida a un usuario del dispositivo, para proporcionar datos confidenciales.
Si se considera el ejemplo de un terminal de pago, los siguientes elementos, si están presentes en una vista corriente generada por una aplicación ejecutada en el procesador no asegurado del dispositivo, pueden considerarse motivos sospechosos:
- dígitos espaciados como un teclado numérico;
- un mensaje invitando al usuario a revelar su código personal (“Introduzca su código PIN”);
- la conjunción de elementos que, tomados de manera aislada, no son sospechosos, pero tomados en conjunto constituyen un intento de fraude por parte de la aplicación (por ejemplo, la visualización en varias partes del mensaje "Introduzca su código PIN").
Estos ejemplos se dan con fines puramente ilustrativos y no limitativos en el contexto de un terminal de pago, y puede haber muchos otros ejemplos de motivos sospechosos, en particular si se considera otros tipos de dispositivos electrónicos para introducir datos.
La etapa de búsqueda 24 de motivos sospechosos, dentro del conjunto de motivos reconocidos, puede basarse en particular en la detección y en la combinación de palabras clave, relacionadas, por ejemplo, con el campo léxico de la entrada de información ("introducir", "mecanografiar", "informar", etc.) o el de datos confidenciales ("PIN", "secreto", "código", "personal", "confidencial", "contraseña", etc.).
Esta etapa de búsqueda 24, sin embargo, no se limita a simples comparaciones léxicas, sino que también se pueden utilizar otras técnicas complementarias más avanzadas, en otras formas de realización particulares de la técnica propuesta, para determinar si una vista corriente (VC) es sospechosa, por ejemplo:
- un análisis estadístico, que utiliza tecnologías de aprendizaje, tales como las redes bayesianas, y ofreciendo una heurística sobre la legitimidad de la vista corriente (CV) analizada;
- una evaluación de la similitud de la aplicación con aplicaciones legítimas conocidas (aplicaciones de confianza), medida comparando las vistas generadas por la aplicación (AppC) con vistas conocidas asociadas con estas aplicaciones de confianza.
Según su complejidad de puesta en práctica, los recursos que requieren y la importancia de los resultados que producen, estas diferentes técnicas pueden utilizarse para establecer diferentes grados de nivel de análisis de una vista corriente. Así, a modo de ejemplo, un nivel bajo de análisis de una vista corriente puede consistir en una simple comparación unitaria de los motivos reconocidos con una lista de palabras clave preestablecidas, mientras que un nivel más avanzado de análisis puede consistir en un análisis estadístico en profundidad de la vista, utilizando tecnologías avanzadas de aprendizaje. El número de técnicas de análisis diferentes, puestas en práctica sobre una misma vista para determinar si es sospechosa, también puede constituir un indicador de un nivel de análisis de dicha vista corriente. El número de técnicas de análisis diferentes también se adapta en función de la potencia de procesamiento disponible dentro del dispositivo.
Cuando, siguiendo esta etapa 24 de búsqueda de motivos sospechosos, se establece que la vista corriente (VC) no contiene ningún motivo sospechoso, se considera que esta vista corriente (VC) está en buen estado y se puede presentar al usuario, a través de una visualización en la pantalla del dispositivo electrónico de entrada de datos.
Si, por el contrario, la búsqueda de motivos sospechosos realizada durante la etapa de búsqueda 24 resulta positiva (al menos un motivo sospechoso se ha detectado realmente en la vista corriente), se considera que la vista corriente (VC) es sospechosa y se puede activar la fase (PT) de puesta en práctica de medidas de protección, para evitar que la aplicación (AppC) obtenga, del usuario, información potencialmente confidencial.
En otra forma de realización particular de la técnica propuesta, se adapta el nivel de análisis de la vista corriente (VC) en función de características propias de la aplicación (AppC) (ya se han dado con anterioridad en este apartado diferentes ejemplos de niveles de análisis más o menos avanzados). El nivel de análisis realizado puede así, por ejemplo, ser menos extenso sobre las vistas generadas por una nueva aplicación de un editor conocido que sobre las generadas por una aplicación totalmente desconocida, cuyo editor no se conoce.
En la forma de realización particular ilustrada en la Figura 2, la fase de análisis (AN) de la vista corriente (VC) es realizada por el procesador asegurado del dispositivo electrónico de entrada de datos. Sin embargo, puede ocurrir que el procesador asegurado que equipa determinado dispositivo electrónico de entrada de datos no sea lo suficientemente potente para funcionar en tiempos razonables (es decir, tiempos aceptables para el usuario, que permitan no degradar de manera excesiva su experiencia de usuario, por ejemplo, tiempos inferiores a unos pocos segundos), el análisis de la vista corriente (VC). Asimismo, en otra forma de realización particular de la técnica propuesta, se delega la fase de análisis (AN) de la vista corriente (VC) a un servidor distante, con el cual el dispositivo electrónico de entrada de datos es capaz de comunicarse con los medios de una red de comunicación. De manera ideal, este servidor distante tiene recursos mayores que los disponibles dentro del dispositivo electrónico de entrada de datos (tiene, por ejemplo, procesadores más potentes que el procesador asegurado integrado en el dispositivo electrónico de entrada de datos). En esta forma de realización, el procesador asegurado transmite la vista corriente (VC) al servidor distante, que se encarga de su análisis. A continuación, el servidor distante devuelve al procesador asegurado el resultado de este análisis, es decir, la información que especifica si la vista corriente (VC) se considera sospechosa o no.
En otra forma de realización particular de la técnica propuesta, las dos formas de realización descritas con anterioridad, en relación con el lugar en donde se realiza la fase de análisis (AN) de la vista corriente (VC), se pone en práctica de manera complementaria: el procesador asegurado realiza, por ejemplo, una primera fase de análisis a nivel superficial, centrándose en unos pocos criterios simples. Cuando esta fase de análisis de bajo nivel resalta la posible presencia de motivos sospechosos, la vista corriente (VC) se transmite al servidor distante para que este último la someta a un análisis más fino y profundo. De esta forma, el servidor distante actúa como complemento del procesador asegurado, cuando es necesario despejar una duda sobre la posible naturaleza sospechosa de la vista corriente (VC).
Además de poder actuar sobre el nivel (superficial y/o avanzado) de la fase de análisis (AN) y sobre su lugar de ejecución (procesador asegurado del dispositivo electrónico de entrada de datos y/o servidor distante), también es posible, en otras formas de realización adicionales de la técnica propuesta, para actuar en el momento de realizar esta fase de análisis (AN).
De este modo, en una forma de realización particular de la técnica propuesta, la fase de análisis (AN) de la vista corriente (VC) se realiza antes de que esta vista corriente (VC) sea posiblemente visualizada en una pantalla del dispositivo electrónico de entrada de datos. En esta forma de realización, la vista corriente (VC) generada por la aplicación (AppC) es interceptada por el procesador asegurado del dispositivo electrónico de entrada de datos, y luego se procesa dentro de una memoria intermedia de vídeo asociada con este procesador asegurado (o a un servidor distante) a quien se delega este análisis). La etapa de cartografía 23 de la fase de análisis (AN) se realiza entonces sobre la vista renderizada dentro de esta memoria intermedia de vídeo, y no sobre una visualización real, en una pantalla del dispositivo electrónico de entrada de datos, de esta vista.
En otra forma de realización particular de la técnica propuesta, la vista corriente (VC) se visualiza en la pantalla del dispositivo electrónico de entrada de datos, y la etapa de cartografía 23 se realiza directamente sobre la vista presentada en la pantalla del dispositivo electrónico de entrada de datos.
Por supuesto, todas estas formas de realización diferentes pueden combinarse entre sí para la puesta en práctica de la técnica propuesta.
5.2.3 Fase de puesta en práctica de medios de protección (PT)
Cuando, después de la fase de análisis (AN), se establece que la vista corriente (VC) es sospechosa, se activa la fase (PT) de puesta en práctica de medidas de protección, con el fin de evitar que la aplicación (AppC) que se está ejecutando en el procesador no asegurado (PNS) obtenga, por parte del usuario, informaciones potencialmente confidenciales.
La posición privilegiada del procesador asegurado, y en particular el hecho de que cualquier dato del procesador no asegurado o destinado al mismo pase a través de este procesador asegurado, se utilice luego en una etapa de puesta en práctica de estos medios de protección (25).
Según diferentes formas de realización particulares de la técnica propuesta, coexisten dos métodos para proteger la información confidencial de un usuario.
Un primer método consiste en evitar que el usuario introduzca esta información en el dispositivo electrónico de entrada de datos. Lo que antecede puede conseguirse mediante el bloqueo de los medios que permiten introducir datos en el dispositivo electrónico de entrada de datos (por ejemplo, mediante el bloqueo, al menos parcial, del teclado del dispositivo cuando la aplicación se está ejecutando). De manera alternativa, otra forma de evitar la entrada de información confidencial es eliminar cualquier incitación a hacerlo: si los elementos incitadores (por ejemplo, un mensaje que solicita la introducción de un código confidencial) nunca se presentan al usuario (bien sea porque la vista corriente que los contiene no se muestra en pantalla, o bien sea, porque los elementos de incentivo que contiene han sido filtrados y eliminados de esta vista antes de que se muestren), el usuario no tendrá ningún motivo para introducir dicha información.
En el caso de que la información ya esté siendo introducida o ya haya sido introducida por un usuario en el dispositivo electrónico de entrada de datos, un segundo método consiste en evitar que estos datos introducidos sean transmitidos a la aplicación (AppC), bloqueándolos a nivel del procesador asegurado.
El método adoptado para la puesta en práctica de las medidas de protección puede diferir en particular según la forma de realización puesta en práctica para la fase de análisis (AN) de la vista corriente (VC). En algunas formas de realización de la técnica propuesta, estos dos métodos también pueden ponerse en práctica de manera complementaria.
Por lo tanto, si la fase de análisis (AN) se realiza en una visualización virtual de la vista corriente (VC), y luego se presenta en una memoria intermedia de vídeo del dispositivo electrónico de entrada de datos (o de un servidor distante), el procesador asegurado puede, en una forma de realización particular de la técnica propuesta, impedir la
representación de la vista corriente (VC) en la pantalla de dicho dispositivo si esta vista es sospechosa. De esta forma, nunca se le presenta al usuario una vista sospechosa o fraudulenta, y este último no tiene ningún incentivo para introducir información confidencial en el dispositivo electrónico de entrada de datos. De manera alternativa, solamente los elementos de la interfaz que puedan incitar al usuario del dispositivo electrónico de entrada de datos a introducir un dato confidencial (dicho de otro modo, los motivos sospechosos) se pueden filtrar, en el sentido de eliminarse, de la vista corriente (VC), antes de que se muestre en la pantalla de dicho dispositivo.
En el caso de que la fase de análisis (AN) se realice directamente sobre la vista que se muestra en la pantalla del dispositivo electrónico de entrada de datos, y no sobre una vista que se muestre de manera virtual en una memoria intermedia de vídeo, el procesador asegurado puede actuar sobre la vista corriente (VC) presente en la pantalla una vez que se ha establecido que es una vista sospechosa. La vista corriente puede así, por ejemplo, borrarse completamente de la pantalla. De manera alternativa, solamente se pueden borrar los elementos que incitan a la entrada de información confidencial (es decir, motivos sospechosos).
En algunos casos, el usuario ha podido tener acceso a la vista corriente (VC), porque esta última se mostraba, aunque fuera brevemente, en la pantalla del dispositivo electrónico de entrada de datos. Este es el caso, por ejemplo, durante el tiempo de ejecución de la fase de análisis (AN), cuando ésta se realiza directamente sobre la vista que se muestra en la pantalla del dispositivo electrónico de entrada de datos. Este también es el caso si la ejecución del método se activa solamente cuando el usuario realiza la entrada de datos en relación con la vista corriente (VC). Otra medida de protección puede consistir entonces en impedir la transmisión, a la aplicación (AppC), de cualquier dato introducido por el usuario en el dispositivo electrónico de entrada de datos, interceptando estos datos al nivel del procesador asegurado. Mientras no finalice el análisis de la vista corriente (VC), estos datos se retienen, por ejemplo, en una memoria segura asociada con el procesador asegurado. Una vez realizado este análisis, si se establece que la vista corriente (VC) es sospechosa, el procesador asegurado borra los datos introducidos retenidos a nivel de esta memoria segura, así como cualquier nuevo dato introducido en relación con la vista corriente (VC). Estos datos, que son información potencialmente confidencial de un usuario, nunca se transmiten a la aplicación sospechosa (AppC). Si por el contrario resulta que la vista corriente (VC) no es sospechosa, los datos retenidos a nivel de la memoria segura asociada al procesador asegurado son liberados y transmitidos a la aplicación (AppC), así como cualquier dato recién introducido en relación con la vista corriente (VC) que se muestra en la pantalla.
Estas diferentes medidas de protección, que constituyen tantas formas de realización particulares de la técnica propuesta, pueden desarrollarse de manera independiente unas de otras o de manera complementaria. De manera alternativa, o en algunos casos graves no ambiguos, es posible que el procesador asegurado decida bloquear la aplicación (AppC) en su totalidad, o incluso todo el dispositivo electrónico de entrada de datos, por ejemplo, si considera que este último está comprometido. Si se detecta una vista sospechosa, en lugar de la vista corriente (VC) o los motivos sospechosos detectados en la misma, puede mostrarse en la pantalla del dispositivo de entrada de datos un mensaje destinado a advertir al usuario que la aplicación (AppC) es potencialmente fraudulenta.
5.2.4 Puesta en práctica del método
El método de gestión de una visualización de una vista descrito con anterioridad se pone en práctica bajo el control del procesador asegurado del dispositivo electrónico de entrada de datos, por ejemplo, por medio de una aplicación o de un método seguro dedicado (diferente de la aplicación (AppC)) ejecutado dentro este procesador asegurado, estando dicha aplicación o método asegurado dedicado constantemente “a la escucha”, en segundo plano. Se realiza cada vez que la aplicación (AppC) genera una vista, lo que permite asegurar toda la interfaz entre el usuario y esta aplicación (AppC). Por la expresión “método puesto en práctica bajo el control del procesador asegurado”, se entiende que el método puede ser realizado en su totalidad por el procesador asegurado; o bien, de manera conjunta, por el procesador asegurado y al menos un elemento externo al dispositivo electrónico de entrada de datos, pero con el que el procesador asegurado es el único autorizado para la comunicación. Este elemento externo puede ser, por ejemplo, un servidor distante, al que se le podría haber delegado la fase (WL) de confrontación con las listas blancas y/o la fase (AN) de análisis de la vista corriente (VC).
De conformidad con diferentes formas de realización de la técnica propuesta, la ejecución del método de gestión de una visualización de una vista puede activarse en diferentes momentos después de que la aplicación (AppC) haya generado una vista. De este modo, el método puede, por ejemplo, comenzar tan pronto como la aplicación (AppC) haya generado la vista corriente (VC) y solicite su visualización en una pantalla del dispositivo electrónico de entrada de datos, pero antes de que esta visualización se realice realmente. De manera alternativa, el método puede comenzar solamente una vez que se muestra la vista corriente (VC) en la pantalla del dispositivo. En otra forma de realización particular de la técnica propuesta, el método puede ponerse en práctica no solamente después de la visualización de la vista corriente (VC) en la pantalla del dispositivo electrónico de entrada de datos, sino también después de que el usuario comience a introducir información en relación con esta vista corriente (VC) en un dispositivo de entrada (por ejemplo, en un teclado físico o táctil) del dispositivo electrónico de entrada de datos (en este último caso en particular, los datos introducidos se conservan a nivel del procesador asegurado del dispositivo electrónico de entrada de datos, siempre y cuando no se haya completado la fase de análisis de la vista corriente (VC).
5.3 Dispositivo
El método de gestión de una visualización de una vista descrito con anterioridad se pone en práctica dentro de un dispositivo electrónico de entrada de datos que comprende, en una forma de realización particular de la técnica propuesta, dos procesadores: un procesador asegurado para la puesta en práctica de aplicaciones seguras, y un procesador no asegurado para la puesta en práctica de aplicaciones de terceros no seguras (como alternativa, y en otra forma de realización particular de la invención, el dispositivo electrónico de entrada de datos puede incorporar un único procesador principal, capaz de desempeñar de manera sucesiva las funciones de procesador asegurado y de procesador no asegurado, sin que ello ponga en entredicho el principio general de la invención).
Según la técnica propuesta, dicho dispositivo comprende, en una forma de realización particular, medios de análisis de una vista corriente generada por una aplicación que se ejecuta en el procesador no asegurado, para detectar al menos un motivo, denominado motivo sospechoso, susceptible de plantear un problema de seguridad al incitar a dicho usuario a proporcionar una información sensible. De manera alternativa, el dispositivo electrónico de entrada de datos puede comprender medios de acceso a recursos externos (por ejemplo, un servidor distante) capaces de poner en práctica dicho análisis.
Según la técnica propuesta, el dispositivo electrónico de entrada de datos también comprende medios para poner en práctica medidas de protección destinadas a evitar la recuperación de dicha información sensible por parte de la aplicación, si la fase de análisis de la vista corriente ha permitido establecer que contiene motivos sospechosos.
El método de gestión de una visualización de una vista se pone en práctica más en particular bajo el control del procesador asegurado del dispositivo electrónico de entrada de datos, a nivel de un entorno de ejecución seguro tal como el presentado en relación con la Figura 3.
Por ejemplo, el entorno de ejecución seguro comprende una memoria segura (31) que consta de una memoria intermedia, una unidad de procesamiento (32), provista, por ejemplo, con el procesador asegurado, y controlada por el programa informático seguro (33), que pone en práctica las etapas necesarias para la gestión de una visualización de una vista de una aplicación ejecutada en el procesador no asegurado, según la técnica propuesta.
En la inicialización, las instrucciones de código del programa informático (33) se cargan, por ejemplo, en una memoria antes de ser ejecutadas por el procesador asegurado de la unidad de procesamiento (32). La unidad de procesamiento (32) recibe a la entrada (E) por ejemplo, una vista (es decir un conjunto de píxeles) generada por una aplicación que se ejecuta en el procesador no asegurado del dispositivo electrónico de entrada de datos, vista para la cual dicha aplicación solicita una visualización en una pantalla de dicho dispositivo. A continuación, el procesador asegurado de la unidad de procesamiento (32) ejecuta las etapas del método de gestión de una visualización de una vista, según las instrucciones del programa informático (33), y notifica, a la salida (S), las posibles medidas de protección a aplicar para evitar la recuperación de información sensible por dicha aplicación, si esta última resulta ser potencialmente fraudulenta.
Para lo que antecede, el entorno de ejecución seguro comprende, además de la memoria segura (31), medios de transmisión/recepción de datos, que permiten, por un lado, el intercambio de datos procedentes de un dispositivo de entrada (por ejemplo, un teclado) y destinados a un dispositivo de restitución (por ejemplo, una pantalla) del dispositivo electrónico de entrada de datos, y por otro lado, el intercambio de datos con un procesador no asegurado del dispositivo electrónico de entrada de datos. De este modo, el entorno de ejecución seguro es en particular capaz de interceptar los datos procedentes o destinados a una aplicación ejecutada en el procesador no asegurado del dispositivo electrónico de entrada de datos. Estos medios de transmisión/recepción de datos pueden adoptar la forma de interfaces de conexión de software o de interfaces de hardware. Según la técnica propuesta, dicho entorno de ejecución seguro comprende, además, medios de almacenamiento que pueden adoptar la forma de una base de datos o de un conjunto de archivos de configuración, o un acceso a dichos medios de almacenamiento. Estos medios de almacenamiento pueden, en particular, albergar una lista de aplicaciones predeterminadas, que identifica las aplicaciones a las que se atribuye una confianza adicional y que no se desea que sean penalizadas por una fase de análisis. Estos medios de almacenamiento también albergan, para cada una de estas aplicaciones de confianza, una lista de vistas conocidas que sirve como base de comparación para determinar si la vista generada por una aplicación se considera fiable (en cuyo caso no se realiza el análisis de la vista) o no (en cuyo caso, aunque se conozca la aplicación, se realiza el análisis de la vista, en una forma de realización particular de la técnica propuesta). Estas listas de aplicaciones y vistas de referencia son, por ejemplo, actualizadas por el fabricante del dispositivo electrónico de entrada de datos. En algunas formas de realización particulares de la técnica propuesta, el entorno de ejecución seguro comprende, además, medios de transmisión/recepción de datos que pueden materializarse en forma de interfaz de conexión a una o varias redes de comunicación, permitiendo estos medios posiblemente establecer un enlace seguro con al menos un servidor distante, encargado de analizar las vistas generadas por una aplicación ejecutada en el procesador no asegurado, cuando dicho análisis no se realice dentro del propio dispositivo electrónico de entrada de datos. La confrontación de la aplicación y de las vistas generadas con listas blancas también puede, en determinadas formas de realización particulares de la técnica propuesta, delegarse en a un elemento externo al dispositivo electrónico de entrada de datos, tal como, por ejemplo, un servidor distante. Estas interfaces de conexión pueden adoptar la forma de interfaces de software o de interfaces de hardware (del tipo de tarjeta de red o de módulos
de hardware de comunicación de red). Por último, en determinadas formas de realización particulares de la técnica propuesta, el entorno de ejecución seguro también puede comprender una memoria intermedia de vídeo segura, dentro de la cual se puede representar una vista generada por la aplicación, antes de una posible visualización real en una pantalla del dispositivo electrónico de entrada de datos.
En una forma de realización particular de la técnica propuesta, el dispositivo electrónico de entrada de datos es un terminal de pago.
Claims (9)
1. Método de gestión de una visualización de una vista de una aplicación (AppC), ejecutándose dicha aplicación (AppC) en un procesador no asegurado (PNS) de un dispositivo electrónico de entrada de datos que comprende, además, un procesador asegurado, proporcionando dicha aplicación (AppC) al menos una vista corriente (VC), que comprende un conjunto de píxeles, para ser visualizada en una pantalla de dicho dispositivo, comprendiendo dicho método, bajo el control de dicho procesador asegurado, una etapa de análisis (AN) de dicha vista corriente (VC), que proporciona al menos un dato representativo de una presencia de al menos un motivo sospechoso, siendo puesta en práctica dicha etapa de análisis (AN) por un servidor distante con el que dicho procesador asegurado es capaz de comunicarse por medio de una red de comunicación y/o por dicho procesador asegurado del dispositivo electrónico de entrada de datos, caracterizándose dicho método porque dicha etapa de análisis se pone en práctica cuando se verifica una de las condiciones siguientes:
- dicha aplicación está ausente de una lista de aplicaciones de confianza predefinidas;
- dicha aplicación está presente dentro de dicha lista de aplicaciones de confianza predefinidas, y dicha vista corriente está ausente de una lista de vistas conocidas para dicha aplicación; y
caracterizándose, además, dicho método porque comprende, cuando se detecta una presencia de al menos un motivo sospechoso dentro de dicha vista corriente (VC), una etapa de puesta en práctica (PT), por parte del procesador asegurado, de al menos una medida de protección.
2. Método de gestión de una visualización según la reivindicación 1, caracterizado porque dicha etapa de análisis (AN) comprende las siguientes etapas:
- una etapa de búsqueda dentro de dicho conjunto de píxeles de dicha vista corriente (VC), de al menos un motivo gráfico, con la entrega de un conjunto de motivos reconocidos; y/o
- una etapa de reconocimiento de caracteres realizada en dicha vista corriente, que proporciona o completando un conjunto de motivos reconocidos; y
- una etapa de búsqueda, dentro de dicho conjunto de motivos reconocidos, de al menos un motivo sospechoso.
3. Método de gestión de una visualización según la reivindicación 1, caracterizado porque dicha etapa de análisis (AN) se realiza después de la visualización de dicha vista corriente en dicha pantalla de dicho dispositivo.
4. Método de gestión de una visualización según la reivindicación 1, caracterizado porque dicho análisis (AN) se realiza sobre una vista renderizada en una memoria intermedia de vídeo antes de la visualización de dicha vista corriente en dicha pantalla de dicho dispositivo.
5. Método de gestión de una visualización según la reivindicación 1, caracterizado porque dicha al menos una medida de protección puesta en práctica por el procesador asegurado cuando se detecta una presencia de al menos un motivo sospechoso dentro de dicha vista corriente pertenece al grupo que comprende:
- la no visualización de dicha vista corriente en la pantalla de dicho dispositivo electrónico de entrada de datos; - la supresión o la ocultación de al menos una parte de dicha vista corriente, en la pantalla de dicho dispositivo electrónico de entrada de datos;
- la no transmisión, a dicha aplicación, de los datos introducidos por el usuario en relación con dicha vista corriente; - el bloqueo de dicha aplicación;
- el bloqueo de dicho dispositivo electrónico de entrada de datos.
6. Método de gestión de una visualización según la reivindicación 1, caracterizado porque el procesador asegurado intercepta, dentro de una memoria segura, cualquier entrada realizada por el usuario en dicho dispositivo electrónico de entrada de datos durante todo el tiempo que dure la ejecución de dicha etapa de análisis (AN) de la vista corriente.
7. Método de gestión de una visualización según la reivindicación 1, caracterizado porque dicho dispositivo electrónico de entrada de datos es un terminal de pago.
8. Dispositivo electrónico de entrada de datos que comprende un procesador no asegurado y un procesador asegurado, y que comprende medios de gestión de una visualización de una vista de una aplicación ejecutada en el procesador no asegurado, que proporciona dicha aplicación al menos una vista corriente, que comprende un conjunto de píxeles, para ser visualizados en una pantalla de dicho dispositivo, comprendiendo dicho dispositivo, bajo el control
del procesador asegurado, medios de análisis de dicha vista corriente y/o medios para comunicarse con un servidor distante capaz de analizar dicha vista corriente, capaces de proporcionar al menos un dato representativo de una presencia de al menos un motivo sospechoso, caracterizándose dicho dispositivo porque dichos medios de análisis se ponen en práctica cuando se verifica una de las siguientes condiciones:
- dicha aplicación está ausente de una lista de aplicaciones de confianza predefinidas;
- dicha aplicación está presente dentro de dicha lista de aplicaciones de confianza predefinidas, y dicha vista corriente está ausente de una lista de vistas conocidas para dicha aplicación; y
caracterizándose, además, dicho dispositivo porque comprende medios de puesta en práctica, por parte del procesador asegurado, de al menos una medida de protección.
9. Producto de programa informático descargable desde una red de comunicación y/o almacenado en un medio legible por ordenador y/o ejecutable por un microprocesador, caracterizado porque comprende instrucciones de código de programa para la ejecución de un método de gestión de una visualización de una vista según una cualquiera de las reivindicaciones 1 a 7, cuando se ejecuta en un ordenador.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1558647A FR3041130B1 (fr) | 2015-09-15 | 2015-09-15 | Gestion d'un affichage d'une vue d'une application sur un ecran d'un dispositif electronique de saisie de donnees, procede, dispositif et produit programme d'ordinateur correspondants |
| PCT/EP2016/071897 WO2017046281A1 (fr) | 2015-09-15 | 2016-09-15 | Gestion d'un affichage d'une vue d'une application sur un écran d'un dispositif électronique de saisie de données, procédé, dispositif et produit programme d'ordinateur correspondants |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2916083T3 true ES2916083T3 (es) | 2022-06-28 |
Family
ID=54478841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES16769945T Active ES2916083T3 (es) | 2015-09-15 | 2016-09-15 | Gestión de una visualización de una vista de una aplicación en una pantalla de un dispositivo electrónico de entrada de datos, método, dispositivo y producto de programa informático correspondientes |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11100215B2 (es) |
| EP (1) | EP3350745B1 (es) |
| CA (1) | CA2998780C (es) |
| ES (1) | ES2916083T3 (es) |
| FR (1) | FR3041130B1 (es) |
| WO (1) | WO2017046281A1 (es) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210166227A1 (en) * | 2019-11-28 | 2021-06-03 | Qualcomm Incorporated | Secure User Interface With Improved User Experience |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2745967B1 (fr) * | 1996-03-07 | 1998-04-17 | Bull Cp8 | Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede |
| FR2849327A1 (fr) * | 2002-12-20 | 2004-06-25 | St Microelectronics Sa | Procede et dispositif de decodage audio/video, circuit pilote video et boitier decodeur l'incorporant |
| WO2008018055A2 (en) * | 2006-08-09 | 2008-02-14 | Neocleus Ltd | Extranet security |
| WO2008114257A2 (en) * | 2007-03-21 | 2008-09-25 | Neocleus Ltd. | Protection against impersonation attacks |
| FR2941312B1 (fr) * | 2009-01-19 | 2017-06-23 | Cie Ind Et Financiere D'ingenierie Ingenico | Procede de securisation d'interface entre un utilisateur et une application, systeme, terminal et produit programme d'ordinateur correspondants. |
| CA3118235A1 (en) * | 2012-04-13 | 2013-10-17 | Ologn Technologies Ag | Apparatuses, methods and systems for computer-based secure transactions |
| US9235731B2 (en) * | 2012-10-16 | 2016-01-12 | Truedata Systems, Inc. | Trusted data relay |
| US9836591B2 (en) * | 2014-12-16 | 2017-12-05 | Qualcomm Incorporated | Managing latency and power in a heterogeneous distributed biometric authentication hardware |
-
2015
- 2015-09-15 FR FR1558647A patent/FR3041130B1/fr active Active
-
2016
- 2016-09-15 ES ES16769945T patent/ES2916083T3/es active Active
- 2016-09-15 US US15/760,101 patent/US11100215B2/en active Active
- 2016-09-15 CA CA2998780A patent/CA2998780C/fr active Active
- 2016-09-15 EP EP16769945.3A patent/EP3350745B1/fr active Active
- 2016-09-15 WO PCT/EP2016/071897 patent/WO2017046281A1/fr active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017046281A1 (fr) | 2017-03-23 |
| FR3041130B1 (fr) | 2019-11-22 |
| CA2998780A1 (fr) | 2017-03-23 |
| FR3041130A1 (fr) | 2017-03-17 |
| US11100215B2 (en) | 2021-08-24 |
| CA2998780C (fr) | 2023-11-07 |
| EP3350745B1 (fr) | 2022-03-09 |
| EP3350745A1 (fr) | 2018-07-25 |
| US20180253548A1 (en) | 2018-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11599650B2 (en) | Secure computing system | |
| US20200404019A1 (en) | Mutual authentication security system with detection and mitigation of active man-in-the-middle browser attacks, phishing, and malware and other security improvements | |
| US10162975B2 (en) | Secure computing system | |
| US8782404B2 (en) | System and method of providing trusted, secure, and verifiable operating environment | |
| Smith | Trusted computing platforms: design and applications | |
| US8335931B2 (en) | Interconnectable personal computer architectures that provide secure, portable, and persistent computing environments | |
| ES2700839T3 (es) | Procedimiento y dispositivo de visualización segura | |
| CN1609809B (zh) | 维持多操作系统环境中显示的数据的安全的方法和系统 | |
| Mohamed et al. | Smashed: Sniffing and manipulating android sensor data for offensive purposes | |
| JP2005531830A (ja) | 安全な移動体無線デバイス用の信頼性のあるユーザインタフェース | |
| ES2916083T3 (es) | Gestión de una visualización de una vista de una aplicación en una pantalla de un dispositivo electrónico de entrada de datos, método, dispositivo y producto de programa informático correspondientes | |
| Fatima et al. | Home Automation and RFID‐Based Internet of Things Security: Challenges and Issues | |
| TWI628558B (zh) | a method of indicating a mobile device operating environment and a mobile device capable of indicating an operating environment | |
| EP3244375A1 (fr) | Microcontrôleur pour démarrage sécurisé avec pare-feu | |
| Zheng et al. | TZ-KPM: Kernel protection mechanism on embedded devices on hardware-assisted isolated environment | |
| Brasser et al. | Regulating smart personal devices in restricted spaces | |
| BE1024111B1 (fr) | Microcontroleur pour demarrage securise avec pare-feu | |
| Nayani | Designing secure solutions for embedded systems | |
| Kim | Regulating smart devices in restricted spaces | |
| Loutfi | Trusted Execution on Commodity Devices | |
| Wu | Designing Effective Security and Privacy Schemes for Wireless Mobile Devices | |
| RU2527758C2 (ru) | Способ скрытного хранения конфиденциальных данных в защищенной энергонезависимой памяти и устройство для его реализации | |
| Messerges et al. | Securing Derived Credentials on a Mobile Device | |
| Sharma | Generating smartphone phishing applications for deception based defense | |
| Dwoskin | Securing the use of sensitive data on remote devices using a hardware-software architecture |