Segurança é problema para uso corporativo do iPhone 2.0

A Apple anunciou na última quinta-feira (06/03) o software iPhone 2.0 que, segundo a empresa, inclui uma série de novas funcionalidades de segurança que permitiriam seu uso corporativo.

Apesar disso, analistas afirmam que algumas questões – como serviços bancários, que devem atender rígidos padrões governamentais de proteção de dados – ainda precisam ser respondidas para atender a demanda de grandes empresas.

A descrição da versão 2.0, fornecida pela Apple em junho, afirma que o aplicativo é seguro na utilização tanto do Microsoft Exchange quanto do ActiveSync para baixar e-mails e dados, assim como a VPN Cisco Ipsec, utilizada para encriptação de dados em acessos sem fio a redes privadas corporativas.

Enquanto alguns especialistas ressaltam não existir segurança à prova de falhas, a encriptação de dados é citada como padrão ouro em muitos sistemas. Para os especialistas, a solução da Cisco dá segurança contra ataques online, mas não garante o aparelho em caso de ataques físicos, caso ele seja perdido ou roubado.

“Somente uma VPN não garante a segurança a um equipamento móvel. A maioria dos ataques a pequenos aparelhos é causada pela perda de controle do aparelho, ou ataques orientados por outros métodos, como a leitura de dados armazenados”, afirma John Girard, analista do Gartner. 

“Eu ainda vejo grande risco à segurança caso o aparelho seja perdido ou roubado. E, para estes casos, o iPhone não conta com um mecanismo de encriptação de todos os dados armazenados. Ferramentas e aplicativos de segurança trarão essa proteção, mas isso deve levar alguns meses”, lembra Girard. 

Um executivo de TI de um grande banco disse que muitos funcionários do setor querem utilizar o iPhone, mas a instituição precisa de mais tempo para avaliar se as inovações de segurança apresentadas são suficientes para atender os requisitos de proteção de dados internos e os impostos pelo governo.

De acordo com Girad, uma vulnerabilidade externa à VPN poderia ocorrer em razão da exposição de uma das portas do aparelho, que poderia ser acessada mesmo com a VPN rodando. Esta vulnerabilidade foi demonstrada por executivos da Bluefire Technologies em uma conferência realizada no início desta semana: um pequeno cartão de dados pode ser instalado no aparelho e enviar dados codificados dele para um terceiros, via wireless.