Ameaças em evolução e novas maneiras de ataque exigem mudanças na estratégia da segurança móvel e inovadoras formas de defender-se diariamente.
Os dispositivos móveis representam uma superfície de ataque único e de rápida evolução. Como smartphones e tablets com Android e iOS tornam-se mais integrados em ambientes de negócios, precisamos colocar em prática medidas eficazes. Malwares e aplicativos maliciosos têm recebido cada vez mais atenção dos profissionais de tecnologia.
Quem é mais vulnerável – iOS ou Android?
Dispositivos Android, em particular, têm uma reputação de vulnerabilidade graças à sua capacidade de executar aplicações entregues fora da loja Google Play. Mas, também, malwares acharam maneiras mais inteligentes de burlar a segurança do Google.
De acordo com o Relatório de Segurança Anual Cisco 2014, 99% dos malwares móveis em 2013 focaram dispositivos Android. Mas não funciona bem assim, pois estatísticas mostraram uma história diferente.
O engenheiro-chefe do Google para segurança do Android, Adrian Ludwig, mais difícil para distribuir malware para dispositivos iOS. Masessa mesma limitação de segurança leva muitos usuários a fazer o jailbreak de seus dispositivos, abrindo a porta para ataques maliciosos. Aplicações vulneráveis também representam alto risco, só porque um aplicativo não é projetado para ser mal-intencionado não significa que é seguro.
Em um teste realizado recentemente pela NowSecure, empresa focada em segurança móvel, com cem aplicações populares (50 iOS, e 50 Android) para vulnerabilidades e ataques de man-in-the-middle, descobriu-se que a maioria das aplicações (75% iOS e 59% Android) recebeu uma “alta” classificação de risco em uma ou mais categorias.
A Appthority, companhia também especializada em segurança, fez um estudo semelhante e verificou que 95% dos 200 melhores aplicativos gratuitos para Android e iOS exibiram comportamentos de risco. Nenhuma categoria de aplicativo parece estar imune. Recentemente, a IOActive, empresaespecializada em soluções de segurança, pesquisou 40 aplicativos de consumo de mobile banking das maiores instituições financeiras do mundo e encontrou 90% deles vulnerável a ataques.
O mundo está refém
Os estados-nação e outros adversários avançados representam outra ameaça crescente na arena móvel. Vimos há pouco tempo notícias de que mesmo um equipamento novo já poderia vir infectado. Também verificamos a exposição de dados da empresa Hacking Team, por hackers, mostrando que diversos países e instituições estavam usando a solução, que permite instalar vetores de ataque remotamente.
Sendo assim, qualquer smartphone pode funcionar como um dispositivo de gravação; atacantes avançados podem instalar bugs em smartphones corporativos e participar secretamente de reuniões da diretoria com apenas o clique de um botão. A câmera embutida pode igualmente ser remotamente aproveitada como um dispositivo de espionagem corporativa.
Como se isso não bastasse, a rede móvel também apresenta diversas vulnerabilidades. O inimigo nem precisa instalar um aplicativo malicioso em seu smartphone para extrair os dados ou escutar as conversas.Recentemente, constatamos que a exploração da vulnerabilidade do sistema SS7, usado por todas as redes móveis do mundo, permite fazer escutas e cópias de dados trafegados.
Como defender-se
Então, como você pode proteger sua organização contra todas essas ameaças? A má notícia é que não há nenhuma solução mágica. Mas a boa notícia é que você pode tomar medidas para tornar sua comunidade mais segura. A estratégia de segurança móvel deve assumir uma forma proativa e uma postura defensiva.
Uma maneira efetiva de proteção hoje, contra todos esses desafios, é blindar o sistema operacional do celular e usar criptografia ponto a ponto. Obviamente, isso leva o usuário a ser obrigado a usar dois aparelhos, um para comunicação segura e outro para comunicações normais e não sensíveis. A segurança nesse caso deve se superpor a comodidade de ter tudo instalado em um só dispositivo. Esse tipo de concessão ao usuário já se mostrou como ponto de falha na segurança móvel corporativa. Então, quer falar com confidencialidade ou não?
*Marcelo Copeliovitch é diretor-geral da Gold Lock Brasil e representante da empresa Israelense Gold Line Group Ltda