Segurança do telefone móvel: sistema operacional contra aplicativos

Desde os primeiros dias da era dos smartphones, a comunidade de segurança da informação (Infosec) compara a segurança dos sistemas operacionais dominantes: Android, iOS, BlackBerry e Windows Phone (anteriormente WindowsMobile).

Mas essa abordagem é unidimensional e não envolve uma fonte de risco mais importante: aplicativos móveis! Neste artigo, Ioannis Koukouras, CEO da Twecutec analisa tudo sobre a segurança dos sistemas operacionais móveis, mas também a principal fonte de risco, que não é outro senão os aplicativos baixados pelos usuários.

Por fim, veremos como os fabricantes podem melhorar a situação instalando válvulas de segurança, filtrando os desenvolvedores de aplicativos que publicam aplicativos em sua loja de aplicativos, mas também treinando os próprios usuários do aplicativo.

290x195mobilesecurity6

Os aplicativos são Trojan Horse na segurança do sistema operacional

A questão da segurança de um sistema operacional não é insignificante. Em vez disso, deve ser considerado um dos fatores mais importantes para o futuro da economia digital. Infelizmente, a maioria dos usuários é consumida pela segurança fornecida pelas próprias plataformas / funcionalmente, como se o iOS envia informações sobre a localização do usuário – e geralmente deixa de considerar quais informações os vários aplicativos enviam (como). o popular Angry Birds) a terceiros ou até a organizações e redes de black hat.

[wdca_ad id=”78638″ ]

No passado, quando o primeiro malwareapp abrangente apareceu pela primeira vez no Android, lembro que o Google imediatamente se mobilizou, removendo o aplicativo remotamente de todos os dispositivos afetados. Eu pensei, então, que este era um exemplo perfeito do controle que a empresa de desenvolvimento de sistemas operacionais poderia exercer nos telefones celulares dos usuários. sem o consentimento do usuário. O Google e outras empresas de software podem instalar ou desinstalar o que quiserem dos dispositivos dos usuários – o que é ainda mais fácil. em sistemas ‘fechados’, como iOS e Windows Phone.

[quote]Isso significa que uma agência governamental pode obter acesso aos dados de um grupo de usuários ou de um usuário individual, independentemente do nível de segurança do próprio sistema operacional. Tudo o que você precisa é da cooperação das próprias empresas: Apple, Google, Microsoft, etc..[/quote]

trojan-horse-100029524-gallery

Só porque um sistema operacional pode ser considerado seguro, não significa que os dados armazenados nele sejam seguros em nenhuma circunstância. – nem significa que a conexão com serviços externos (por exemplo, serviços on-line) e outros aplicativos é segura. Depois que o usuário instala um aplicativo – que tem acesso a vários dados – o uso do dispositivo pode não ser mais seguro, seja a intenção do criador do aplicativo ou não.

Segurança através de apuração e outros mitos

Muitas empresas, como Apple e Nokia (agora Microsoft), usam a curadoria de aplicativos em suas lojas de aplicativos, ou seja, investigam se os aplicativos carregados pelos desenvolvedores são seguros ou malware. Pensar que esse processo fornece segurança absoluta é bastante ingênuo. Em um exemplo agora famoso, a curadoria de aplicativos da Apple simplesmente se desviou da adição de um comentário ao código.

O aplicativo era um malware, que ‘roubava’ todos os contatos do usuário, mas passava pelo processo de appcuration apenas porque o desenvolvedor havia adicionado um comentário ao controverso trecho de código, que afirmava que o uso desse recurso era backup desses dados na nuvem. As empresas podem alegar proteger os usuários através dele curadoria – mas na realidade eles só podem identificá-los e neutralizá-los malware aplicativos escritos pelo chamado “roteirocriançasisto é, hackers recém-criados que seguem os métodos mais simples.

UltimEyes - Aplicativo para melhorar a visão

Mesmo nos casos em que um aplicativo não foi fabricado para fins fraudulentos e é de uma empresa respeitável na área, o problema de segurança permanece. Durante os testes de penetração que implementamos no passado, encontramos aplicativos corporativos que permite que um usuário veja os contatos do outro ou até envie um email com o nome do CEO da empresa!

Isso não é necessariamente devido a engano, mas geralmente devido ao desconhecimento das práticas de segurança relacionadas ao desenvolvimento de aplicativos. (s.s. Não é um bug É um recurso)

É verdade que o Android é a plataforma mais adequada para detectar vulnerabilidades em aplicativos de pentesters, devido à filosofia “aberta” da plataforma. Geralmente, procuramos primeiro as vulnerabilidades na versão Android de um aplicativo.

No entanto, os mesmos pontos fracos que encontramos provavelmente estão presentes em outras versões do aplicativo, como iOS e Windows. Embora possa demorar mais, isso não significa que os pontos fracos não possam ser identificados.

javascript

Por fim, não devemos esquecer o grande número de dispositivos jailbroken / rooted no mercado, cujos usuários ignoraram as válvulas de segurança pré-instaladas do sistema operacional, para que possam fazer o download mais facilmente. material “pirata” ou use o hardware do dispositivo de maneira diferente. O problema, porém, é que, dessa maneira, eles deixam seus dispositivos completamente expostos ao apetite de vários especialistas!

A educação do usuário é um elemento necessário de segurança

O sistema operacional e os aplicativos instalados são partes interconectadas da segurança do telefone móvel. Sem um, o outro é ineficaz e uma fonte de riscos potenciais à segurança.

rootkit

Os usuários devem parar de lidar exclusivamente com a segurança do sistema operacional de seus dispositivos e entrar em princípios básicos de segurança para proteger seus dispositivos e dados. As áreas em que a educação do usuário deve se concentrar na confiança que eles mostram em um aplicativo por um desenvolvedor desconhecido, uma vez que ele pode

a) ter finalidades fraudulentas e o aplicativo ser malware e

b) não cumpriu os padrões de segurança ao desenvolver o aplicativo.

Outro fator chave que os usuários precisam conhecer é uma questão de ‘direitos’ do aplicativo (permissões). Quando eles instalam um aplicativo, é exibida a lista de informações e funções do dispositivo ao qual o aplicativo acessará (por exemplo, contatos, mensagens etc.). Os usuários devem verificar se cada aplicativo tem acesso a essas informações e / ou funções

[wdca_ad id=”74823″ ]

Entendo que essas perguntas podem tornar os usuários muito hesitantes e reduzir o download de aplicativos, colocando uma barreira para a ascensão deste mercado. Essa descoberta nos leva à última parte do quebra-cabeça – o que as empresas de construção ou de software podem fazer para melhorar a situação.

O que os fabricantes podem fazer para melhorar a segurança dos aplicativos?

Um método para as empresas que possuem uma loja de aplicativos ou mercado on-line pode ser a introdução de critérios de seleção para desenvolvedores / desenvolvedores de aplicativos, investigando se estão desenvolvendo aplicativos de marca (por exemplo, autenticação de conta bancária) e se publicaram aplicativos seguros. no passado. Dessa forma, os usuários saberão a quem recorrer no caso de um problema de segurança. Uma loja de aplicativos que siga essas práticas, seja a ‘oficial’ do fabricante ou uma independente (por exemplo, Cydia), pode atrair todos os usuários interessados ​​na segurança de seus aplicativos.

aplicativos para dispositivos móveis

Ao mesmo tempo, fabricantes ou operadoras de telefonia móvel podem ter o cuidado de informar os usuários sobre a segurança dos aplicativos. Como mencionei acima, muitos usuários não examinam quais permissões cada aplicativo requer ao instalá-lo, o que é uma fonte de risco mesmo para os sistemas operacionais mais seguros. Usuários devidamente informados ajudarão bastante na luta contra malware na telefonia móvel.

[quote]Em conclusão, segurança móvel – como qualquer outro polimórfico TIC (Tecnologia da Informação e Comunicação) sistema – deve basear-se em boas práticas por parte dos fabricantes, mas também nas informações dos próprios usuários.[/quote]

Giannis Koukouras

[box_light]

koukouras

Giannis Koukouras é o CEO da TwelveSec, uma empresa de consultoria em segurança de sistemas de informação. Giannis atua no campo da tecnologia da informação há mais de 10 anos, enquanto é membro ativo da comunidade internacional de segurança da informação.

[/box_light]