Segurança em ambiente mobile

Existe ainda, a meu ver, uma certa distorção quanto ao tipo de aplicação para sistemas mobile. Em um extremo, tem-se a visão de se tratar de sistema para troca de mensagens (SMS) entre adolescentes. Na outra ponta, costuma-se imaginar um cenário que é, muitas vezes, propagado pelas próprias prestadoras de serviço. Nesse cenário, o executivo está no aeroporto, prestes a embarcar, quando recebe pelo seu aparelho celular um alerta indicando uma excelente opção de compra de ações. Em segundos, esse executivo faz então, uma operação de um milhão de dólares e embarca feliz da vida…

Certamente, o conjunto de aplicações para serviços móveis transcende em muito o quadro acima descrito. A palavra chave para esse tipo de serviço é conveniência. Assim, quantos já não ficaram presos em um congestionamento, ansiosos para ler o e-mail em busca de uma desejada mensagem? E o que dizer da dúvida, ao sair de casa, sobre qual o melhor shopping para se assistir um filme? Aplicações que permitam verificar os e-mails (ou ao menos o seus dados principais), aplicações que informem o número de vagas no estacionamento de um shopping, aplicações para pagamentos de compras, etc. já podem ser encontradas para dispositivos móveis e, certamente, facilitam em muito o dia a dia das pessoas.

Mas para esse ambiente de altíssima conectividade e grande dinâmica, como anda a segurança? Será que uma grande corporação já se sente tranqüila para deixar seus funcionários acessarem e-mail via celular? O que dizer se o acesso for para verificar o estado de um pedido de um cliente ou o preço de um determinado componente (o chamado processo de automação da força de vendas)?

A resposta não é muito simples, contudo podemos dizer que a situação não é a ideal, mas tende a melhorar. Para uma análise mais profunda, é necessário primeiro que se tenha em mente as três formas básicas através das quais a rede mobile é utilizada:

§ Utilização através de browser HTTP (utilizado em sistemas palm).

§ Utilização através do WAP.

§ Utilização através do serviço de mensagens curtas, o chamado SMS (short message service).

A primeira utilização, através de browser HTTP, permite que se atue como se estivéssemos na Internet fixa. Nesse caso, o protocolo de segurança é o SSL, que permite a codificação das mensagens fim a fim (entre o dispositivo e o servidor) e traz, no caso de criptografia de 128 bits, um alto nível de segurança. Assim, tem-se um ambiente muito próximo ao da Internet e o principal ponto a ser discutido é o da autenticação do cliente, no caso de se ter certificado digital apenas no servidor.

A utilização do WAP é a utilização típica quando se navega através do telefone celular. O WAP apresenta como protocolo de segurança o WTLS que, de maneira simplista, pode ser comparado ao SSL da Internet. Contudo, como a maioria dos servidores que se acessa via WAP funcionam com o SSL, existe, na maior parte das implementações, o conhecido problema de segurança advindo da necessidade de conversão de protocolos na operadora. Ou seja, o dado codificado que sai do aparelho celular (em WTLS) é decodificado na operadora e codificado novamente para envio ao servidor destino (transformado em SSL). Esta vulnerabilidade implica na não existência de segurança fim a fim e tem sido muito questionada.