A (in)segurança dos apps móveis
Por Monique AssunçãoApós boatos envolvendo o jogo de realidade virtual, Pokémon Go, terem circulado dizendo que a Niantic, desenvolvedora do game, estaria trabalhando em conjunto com a Central Intelligence Agency (CIA), para espionar as pessoas em seus ambientes privados e corporativos, resolvemos abordar um pouco mais esse assunto e expandi-lo, também, para outros aplicativos.
Na prática, todas as ferramentas disponíveis na internet solicitam informações pessoais, obrigatoriamente, para permitirem o acesso a elas. A questão é: para onde vão todas as informações coletadas? Quem tem acesso a elas? Corre o risco de terceiros, sem autorização, acessarem os dados? Como os desenvolvedores ganham dinheiro oferecendo um produto de graça? São muitas hipóteses e como diz a máxima: "quando o serviço é de graça, o produto é você!".
Nas lojas virtuais dos principais sistemas operacionais existem muitas opções de aplicativos, como canais de compras, pagamentos online, jogos, tutoriais e outros serviços, sendo a maioria livre de pagamento. No entanto, apesar das exigências de segurança dos sistemas e dos antivírus disponíveis também nessas lojas virtuais, muita gente ainda tem receio de acessar, por exemplo, sua conta bancária através desses meios ou de fazer compras online utilizando o smartphone.
Segundo um levantamento feito pelo aplicativo de pesquisas remuneradas PiniOn, em outubro do ano passado, em parceria com a Rakuten, empresa que cria plataformas para lojas virtuais, cerca de oito entre 10 brasileiros tinham realizado, ao menos, uma compra pela internet nos últimos 12 meses e mais da metade usou smartphones para essa finalidade. Mas, segundo o estudo, a maioria (58%) dos entrevistados prefere fazer compras a partir de um computador. Uma das razões citadas para a resistência é o fato de não se sentirem seguras (36%) utilizando o aparelho celular.
O Analista de Sistemas, Luciano Barbosa, afirma que o Pokémon não está vigiando as pessoas. Para ele, tudo não passa de teoria da conspiração. Porém, essa possibilidade existe e já está sendo feita, mas não tem nada a ver com Pokémon Go. "O Google e o Facebook já guardam os locais que você visita faz tempo. A Niantic não tem um bom sistema de geolocalização. Eles utilizam o Google Maps para isso. Ou seja, se tem alguém monitorando a gente é nossa amiga Google", defende Luciano.
E, se tratando de qualquer outro app, também existe o risco de quem está por trás ter acesso a muito mais informações do que dizem nas políticas de privacidade. Luciano lembra que, no caso de grandes corporações, se o termo de privacidade for comprovadamente quebrado vai dar muita dor de cabeça. "Processos individuais, ações coletivas, quedas nas bolsas de valores etc., mas ainda assim, a única forma de defesa é não usar o aplicativo deles", aconselha. No caso de um app menor ou que precise de "permissões de administrador" no dispositivo, seja ele PC, Mac, Linux ou smartphone, o analista diz que funciona exatamente do mesmo jeito. 39O problema é que não dá para confiar", examina.
"Um aplicativo para Android, que tenha como função burlar o GPS para poder jogar Pokémon Go, por exemplo, pode ter acesso a várias informações no seu sistema, incluindo senhas, contatos e fotos na memória", continua Luciano Barbosa. "Em segurança da informação tem uma área chamada 39Engenharia Social39, que consiste, basicamente, em fazer como os gregos fizeram em Tróia: te apresento algo que você possivelmente irá gostar, mas isso fará algo além do que aparenta fazer", argumenta. Voltando às teorias da conspiração, Luciano é enfático em dizer que urnas e caixas eletrônicos, receptor de vale-transporte eletrônico e câmeras de segurança podem ter uma segunda intenção, sendo que nunca teremos certeza da totalidade das funções da maioria dos sistemas que nos atendem hoje. "Teoricamente falando: se você está utilizando o serviço de alguém, este tem total domínio sobre as informações que você alimentou. Eles podem, no entanto, só ignorar suas senhas de banco, redes sociais e e-mail. Por isso, criptografamos os dados", lembra o analista.
"Só eu acho isso suspeito? "
Um artigo publicado no site "Oficina da Net" aborda a insegurança das "permissões" concedidas às aplicações mal-intencionadas, pois seus criadores, de olho em um mercado super-promissor e rentável, podem esconder códigos maliciosos nele. Ao fazer o download de aplicativo, aparentemente, inofensivo, informações confidenciais, como contatos, mensagens, ligações ou até mesmo imagens e câmera podem ser solicitadas. "Só eu acho isso suspeito? ", questiona o artigo.
Como exemplo, o artigo cita as solicitações de um aplicativo que mostra quem está ligando, mesmo que não faça parte da lista de contatos. Entre as tantas permissões desnecessárias, está a informação de conexão Wi-Fi. Segundo o líder da Prática de Segurança da Unisys na América Latina, Leonardo Carissimi, geralmente, o acesso à informação influi na funcionalidade do aplicativo, mas na maioria das vezes é possível bloquear. "O mais indicado é buscar informações sobre o app antes de baixá-lo, para entender se as permissões de acesso devem influir na sua funcionalidade e até mesmo, para não correr o risco de baixar versões falsas, que são malwares e buscam o roubo de informações pessoais presentes nos smatphones, como de contas bancárias, por exemplo", orienta.
Sobre o risco de dados armazenados em app de bancos e lojas, por exemplo, serem roubados por criminosos, mesmo sem terem acesso ao aparelho celular, o líder da Unisys afirma que sim, isso é possível. "Existem programas criados por desenvolvedores mal-intencionados que permitem acessar informações de outros aplicativos presentes nos smartphones", assegura. Para diminuir a probabilidade, o especialista diz que o ideal é baixar aplicativos das lojas oficiais dos sistemas operacionais, não de sites da internet, e ter no smartphone aplicativos de antivírus, que na sua maioria possuem versões gratuitas e que protegem o celular nestes casos. "Além disso, é importante não acessar redes de Wi-Fi desconhecidas e abertas, que podem também permitir o acesso remoto de criminosos em busca de informações críticas, como números de cartões de créditos utilizados em aplicativos de compra online", enfatiza.
Riscos
Leonardo Carissimi ainda faz um alerta sobre os riscos para o mundo corporativo de alguns aplicativos como o Pokémon Go, uma vez que os dispositivos móveis são cada vez mais utilizados para acesso a dados e sistemas corporativos em cenários como BYOD (Bring Your Own Device ou "Traga seu Próprio Dispositivo"). E, também, cada vez mais são usados para empresas oferecerem serviços a consumidores e parceiros - B2C (negócios com o consumidor) e B2B (negócios entre diferentes empresas).
Se sua empresa usa Google Apps, é preciso ser enfático na proibição de usar as contas de trabalho para acessar quaisquer aplicativos não relacionados ao trabalho, como o Pokémon Go. Essa restrição deve estar na política da empresa, ser devidamente comunicada aos usuários e, evidentemente, monitorada e reforçada por mecanismos de controle. Os riscos são relacionados a:
Roubo (ou mesmo perda) dos dispositivos móveis
neste caso, recomenda-se reforçar controles tecnológicos e não tecnológicos com campanhas de conscientização dos usuários, utilização de mecanismos que bloqueiem os dados em caso de roubo ou perda, senhas fortes e mesmo autenticação como senhas com padrões de desenhos, leitor de digitais, câmera para reconhecimento facial, microfone para reconhecimento de voz, uso de software tokens, entre outros.
Malware
versões falsas de Pokémon Go podem instalar malware em smartphones de usuários mais distraídos. No atual cenário de BYOD, sendo o aparelho de propriedade do funcionário, podem coexistir dados corporativos e aplicativos pessoais. Além disso, algo similar acontece em modelos B2C e B2B: se os consumidores ou parceiros de outras empresas são proprietários dos dispositivos, não há a prerrogativa de controle pela empresa. Nestes casos, é preciso sair do contexto de segurança do dispositivo e mover-se para outro nível, o de aplicativos, definir políticas de forma a proteger os dados corporativos independente do aparelho em que estas são executadas ou de quem seja seu dono.
Necessidade
Por outro lado, quem precisa de serviços de transportes, por exemplo, precisa ter os seus dados compartilhados, como condição para utilizar o transporte. A verdade é que estamos tão dependentes dos aplicativos, que não nos damos conta da quantidade de informações pessoais que repassamos e nem quem terá acesso a elas, porque, até mesmos os profissionais que fazem parte da empresa, que oferece o serviço pelo aplicativo, representa um risco em potencial.
Como exemplo de um caso de insegurança via aplicativo móvel, temos os relatos de usuárias de serviços de táxi, que foram assediadas e até receberam ameaças por mensagens, após utilização do serviço.
Estamos incorporando, cada vez mais, os aplicativos às nossas necessidades diárias. Todos os dias surgem novos apps com diversas funcionalidades. No entanto, alguns passam muito do limite. Um app criado para simular conversas falsas no WhatsApp, conhecido como WhatsFake, pode causar efeitos danosos na vida de alguém. A proposta seria causar diversão entre os amigos, mas basta um pouco de malícia e o estrago estaria feito.
WhatsApp e o acesso às informações
E por falar em WhatsApp, os brasileiros já estão cansados e se sentindo prejudicados com as investidas da Justiça, ordenando o bloqueio do serviço de bate-papo, como forma de obrigar os proprietários a liberarem conteúdos de conversas privadas. Para os usuários, a viabilidade de se poder acessar conteúdos, representa uma porta aberta para invasões de privacidade. Embora o Facebook, detentora dos direitos do aplicativo, diga que não armazena os dados compartilhados no bate-papo, muitos usuários andam preocupados com a possibilidade de terem seus dados expostos por terceiros, independentemente da motivação.
Para o sócio-diretor da empresa de desenvolvimento de aplicativos mobile, Ilhasoft, Leandro Neves, não se sabe com certeza se o WhatsApp realmente descarta os dados dos usuários, mas a Justiça poderia ter acesso a essas informações por outros meios menos triviais. No caso do Android, especificamente, os dados são armazenados em uma pasta no aparelho, mas seria preciso ter acesso ao dispositivo, para instalar um aplicativo espião, e poder ter acesso remotamente aos dados a partir de um outro aparelho. "Embora os dados sejam criptografados, teria que quebrar a criptografia e ter a instalação no dispositivo, para poder ter acesso. Isso não garante que funcione, mas é uma possibilidade", explica Leandro.
Proteção
O site "Oficina da Net" separou quatro dicas do relatório de segurança para aplicações em iPhone e iPad, de Chenxi Wang, que impedem acesso aos dados, mesmo que o criminoso tenha acesso ao dispositivo físico. Segundo a publicação, existem quatro principais passos que os desenvolvedores devem tomar a fim de assegurar a proteção de dados em suas aplicações.
(01) Realizar uma avaliação de segurança da arquitetura do aplicativo
A avaliação deve ser realizada pela equipe de segurança antes que a equipe de desenvolvimento de aplicações comece a implementar o projeto de arquitetura. Perguntas podem incluir coisas como: "É necessário armazenar credenciais do usuário para este dispositivo?" ou "Qual o protocolo de autenticação que devemos aplicar em cima do JSON / REST?" Esta não é uma prática que só se destina a aplicações móveis, Wang lembra.
(02) Declare a classe de proteção adequada para os dados
Escolha "ProtectionComplete", se iOS deve sempre criptografar o arquivo e apenas decifrá-lo quando o usuário digitar sua senha. Escolha "ProtectionNone", se a proteção de arquivos não está vinculada com a senha e estará disponível logo que o dispositivo é inicializado.
(03) Coloque credenciais na keychain
A keychain é um objeto especialmente protegido, que tem três classes de proteção disponíveis: Available When Unlocked, Available After First Unlock e Available Always. Para obter as credenciais necessárias para tarefas de segundo plano, o Available Always deve ser usado. Available When Unlocked é como o anterior "Protection Complete", mas para objetos do sistema de arquivos. Available After First Unlock mantém os dados criptografados após ligar o aparelho, até que o usuário digite a sua senha.
(04) Remova os dados corretamente
Os dados precisam ser devidamente removidos da memória local, com exceções de dados quando o dispositivo está bloqueado.
Leia a revista