Os aplicativos são nossa principal vulnerabilidade

Por , 24 de February de 2016 a las 11:00
Os aplicativos são nossa principal vulnerabilidade
digital

Os aplicativos são nossa principal vulnerabilidade

Por , 24 de February de 2016 a las 11:00

Cada ano se desenvolvem aproximadamente 3 milhões de aplicativos novos. Por razões obvias, os controles de segurança aos que podem ser submetidos são cada vez mais escassos. E é que, desses três milhões, mais de 500.000 são retirados, pois não são considerados como ‘apps seguros’ ou por violar os termos e condições dos markets de aplicativos.

Qualquer um que tenha as ferramentas mínimas pode mergulhar de cabeça na corrida do desenvolvimento de aplicativos. Alguém com uma ideia inovadora talvez queira transformá-la em um aplicativo, com o objetivo de oferecer ‘seu serviço’ a toda a comunidade de usuários. Mas, conhecerá esse empreendedor todos os requisitos em matéria de segurança, que são necessários para que sua criação não venha com algum ‘presentinho’ surpresa? Será que os markets são capazes de identificar as vulnerabilidades de segurança associadas aos apps antes de publicá-los?

O problema é que, ao contrário do que em um computador pessoal, os usuários normalmente não costumam ter nenhum software de proteção em seus dispositivos celulares. Portanto, quaisquer destes dispositivos são relativamente vulneráveis e além do mais, podem ser uma ponte perfeita para ter acesso a todos nossos dados, inclusive os que temos protegidos no computador.

Veracode, no State of Software Security Report, afirma que mais de 80% dos dispositivos celulares têm algum defeito de segurança.

A ameaça fantasma

Existem algumas ameaças diante das quais, em princípio, não temos como nos proteger, já que formam parte intrínseca do próprio aplicativo que baixamos. Ainda assim, nunca é demais conhecer estas vulnerabilidades na segurança, para que sejamos cada vez mais conscientes do risco que corremos ao utilizá-las.

Não existe nenhum sistema seguro

Não só, os sistemas operacionais mais comuns são os que enfrentam os principais problemas de segurança. Inclusive Apple e Google têm que lidar constantemente com estas falhas, chegando inclusive a produzir-se e ocasionais escândalos famosos por problemas importantes em seu software.

Ambas companhias sofreram as consequências da insegurança, com casos como o famoso Hearthbleed de Google, ou a vulnerabilidade da versão 9.0 de iOS.

Com isto, queremos dizer que nenhum software, por muito grande que seja a empresa à que pertence, é infalível. Quanto maior, mais número de usuários possui. E quantos mais usuários têm maior será o número de ciberdelinquentes que lutam para ter acesso a estes dados.

segurançaplicativo2

Se não está na store, deve ser por algum motivo

Como já comentamos, praticamente qualquer um pode desenvolver aplicativos para celulares. As lojas de aplicativos da Google e Apple estão relativamente ‘supervisadas’ (muito mais a segunda que a primeira), com a intenção de proteger aos usuários de softwares maliciosos. Mas claro, se é o próprio usuário que burla esta barreira e baixa conteúdo de fontes externas, poderia acontecer qualquer coisa.

Seja para conseguir um produto grátis, que de outra maneira teriam que pagar, ou porque simplesmente a app só está disponível em alguma página diferente da oficial, muitos usuários optam por baixar os aplicativos do outro lado da barreira, burlando os controles estabelecidos pelo markets oficiais de aplicativos. E sem controles, qualquer ciberdelinquente pode acrescentar à sua aplicação, aparentemente inofensiva, qualquer tipo de malware.

Se você é um destes inconsequentes usuários, só podemos desejar-lhe sorte!

Mas ainda que esteja, também não confie.

Mesmo que Apple tenha alguns controles mais restritos para as publicações de aplicativos em sua loja, a verdade é que Google Play é muito mais flexível e tolerante, principalmente com os aplicativos que contém publicidade incorporada. Isto favoreceu, por um lado, que um grande número de desenvolvedores criassem seus maravilhosos aplicativos na plataforma da Google, e por outro lado, que uma parte desses desenvolvedores tenha objetivos mal-intencionados ao fazê-lo.

Mesmo que ambas lojas ‘limpem’ seus produtos de vez em quando, sempre existe a possibilidade de que encontremos algum elemento que escapou ao controle.

Android tem suas vantagens, e suas desvantagens

Um dos principais problemas que Android tem, comparado a iOS, é que permite que seus usuários tenham seus sistemas operativos desatualizados, e que, ainda assim estejam em funcionamento. Neste momento, podemos encontrar pessoas que tenham a última versão do sistema, e outras que não a atualizaram sequer uma vez.

De fato, de acordo com Android, só 18% de todos os terminais possuem a última versão do mais recente OS no mercado, enquanto que 82% utiliza sistemas anteriores, atrasados e vulneráveis. Afinal, isto favorece que, mesmo que Google trabalhe para criar patches para solucionar as debilidades que detecta em seu Sistema, alguns usuários não chegam a beneficiar-se destas reparações nunca.

Num primeiro momento, pode parecer que qualquer sistema Android é muito mais vulnerável, que outro que funcione com iOS, mas isto não é totalmente verdade. Mesmo que Apple revise e controle todos os aplicativos que são publicados em sua store, devemos considerar que um único elemento infectado no ecossistema da maçã pode afetar tanto quanto milhares de programas de malware em dispositivos Android.

Desta forma, este novo cenário de ameaças requer novas ferramentas, capazes de explorar a inteligência proveniente não só dos aplicativos móveis, mas também dos markets, com a função de descobrir “singularidades” introduzidas pelos criadores que permitem identificar-lhes.

Tacyt, a ferramenta de ciberinteligência para apps maliciosas em Android de Eleven Paths, dá acesso a um histórico de aproximadamente 4 milhões de apps publicados em diferentes markets móveis, e também à metadados das mesmas, o que facilita a identificação de ameaças móveis em tempo real.

Resumindo, garantir nossa segurança depende a maioria das vezes de nós mesmos. Devemos pensar duas vezes no que baixamos e, principalmente, as permissões que damos a esses elementos baixados.

Texto Anterior

Francis Mojica, o cientista que descobriu as “tesouras moleculares” para editar o genoma

Francis Mojica, o cientista que descobriu as “tesouras moleculares” para editar o genoma
Próximo Texto

Água 3.0: Como podem as novas empresas inovadoras reinventar o consumo da água

Água 3.0: Como podem as novas empresas inovadoras reinventar o consumo da água