Home > Notícias

Confiar na segurança de apps iOS e Android é um tiro no pé da segurança

Pesquisa da Positive Technologies avaliou apps móveis utilizados por empresas e encontrou vulnerabilidades de alto risco nos dois sistemas

Da Redação, com Computerworld

02/07/2019 às 13h00

Foto: Shutterstock

A empresa de segurança Positive Technologies iniciou uma série de testes com aplicativos móveis - e os resultados não foram agradáveis. De acordo com levantamento da companhia, foram encontradas vulnerabilidades de alto risco em 38% dos apps iOS e em 43% dos apps Android. A maioria das falhas, diz a Positive, são causadas por fraquezas em mecanismos de segurança.

Segundo o relatório, os riscos não são resultado de vulnerabilidades específicas. Em muitos casos, são produtos de diversas deficiências aparentemente pequenas em diferentes partes do aplicativo. Porém, em conjunto, esses erros podem trazer consequências significativas.

Conforme explicitado pelos especialistas, as brechas de segurança podem ser malwares intencionais, malwares involuntários (quando um desenvolvedor utiliza códigos existentes sem saber que estão infectados), falhas não intencionais e até mesmo códigos completamente limpos, mas que acidentalmente criam problemas ao interagir com o restante do ambiente móvel.

Com as conclusões da pesquisa, especialistas afirmam que os departamentos corporativos de TI não devem confiar em aplicativos da App Store ou da Play Store. Apesar de muitos colaboradores precisarem baixar apps, pessoais ou colaborativos, aconselha-se criar métodos de avaliação para não colocar a companhia em risco. Para isso, as empresas devem criar equipes de testes para analisar todos os aplicativos que poderão ser instalados nos dispositivos da organização. Vale destacar, ainda, que para tentar criar e manter um ambiente seguro, os profissionais deverão testar novamente os apps a cada atualização.

É claro que seria muito mais eficiente e seguro para a Apple e o Google realizar um investimento multibilionário em segurança e testar todos os seus aplicativos antes de colocá-los para download. Mas até que as empresas pressionem as companhias e os acionistas apoiem a iniciativa isso não deve acontecer. Como alternativa, Nikolay Anisenya, chefe da equipe de tecnologia móvel da Positive Technologies, sugere que é importante treinar os colaboradores das companhias sobre segurança de aplicativos móveis, diminuindo, assim, os riscos de ataques.

Por outro lado, o problema de treinar os funcionários em segurança é que eles presumirão que um app corporativo obrigatório (como um firewall aprovado pela empresa) passou por testes dentro da organização. No entanto, esses apps são exatamente o alvo de um bom ladrão cibernético.

Entre as descobertas da Positive Technologies também estão:

  • Comunicação entre processos (IPC): vulnerabilidade crítica comum que permite que um invasor acesse remotamente dados em um aplicativo. Apesar de ser geralmente proibida para apps iOS, na versão 8 do sistema operacional a Apple introduziu extensões que permitem que os apps compartilhem sua funcionalidade com outros aplicativos no mesmo dispositivo.
  • Vinculação profunda: permite que um dispositivo móvel responda a uma URL e inicie um aplicativo correspondente. Se o aparelho contém um app mal intencionado, abrem-se oportunidades para ataques de phishing e roubo de identidade do usuário.
  • Configuração: um terço das vulnerabilidades em aplicativos Android se originam de falhas de configuração.
  • Atenção aos detalhes: os dispositivos móveis armazenam dados como geolocalização, informações pessoais e financeiras, endereços, entre outros, mas o armazenamento seguro desses dados por aplicativos é frequentemente ignorado. Essa vulnerabilidade foi encontrada em 76% dos apps.
  • Ative autenticação de dois fatores: se duas solicitações idênticas forem enviadas para o servidor uma após a outra, com um intervalo mínimo entre elas, as senhas de uso único serão enviadas para o dispositivo do usuário por SMS para o número de telefone vinculado. O invasor pode interceptar as mensagens e assumir a identidade do usuário legítimo, por exemplo, limpando sua conta bancária.

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail