Pontos de vista

Ameaças para dispositivos móveis estão por toda parte: veja o que você pode fazer

Byron Acohido, 10 Junho 2019

Mesmo que você receba da sua empresa um smartphone travado, ainda é essencial adotar as práticas de segurança recomendadas.

Nossos smartphones. O que faríamos sem eles?

Se você for parecido comigo, fazer uma ligação é o quinto ou sexto motivo para pegar seu Android ou iPhone. Seja qual for o sistema operacional que você prefere, uma boa parte dos principais componentes de sua vida digital: e-mail, mensagens de texto, redes sociais, compras, serviços bancários, hobbies e tarefas profissionais, agora passam por nossos smartphones a maior parte do tempo.

Os cibercriminosos sabem disso, é claro, e há algum tempo buscam incansavelmente explorar os novos vetores de ataque, que são o produto da nossa obsessão por smartphones.

Não é necessário nem dizer, mas estão aumentando as evidências de que o panorama de ameaças a dispositivos móveis está se tornando cada vez mais perigoso. Isso ocorre porque os serviços móveis e as funcionalidades de smartphones expandem rapidamente e, como é de se esperar, os ataques cibernéticos que visam dispositivos e serviços móveis também estão crescendo rapidamente. Aqui estão alguns desenvolvimentos importantes que todos devem conhecer.

Entregas de malwares

Depois de revisar os dados sobre o uso de Android em 2018, a Google identificou um aumento no número de “apps potencialmente prejudiciais” que foram pré-instalados ou entregues por meio de atualizações “over-the-air” (OTA). Aqueles que estão por trás das ameaças descobriram como invadir os processos que pré-instalam aplicativos em novos telefones e enviam atualizações do sistema operacional.

Por que escolheram esse caminho? Em vez de enganar os usuários individualmente, os fraudadores só precisam enganar o fabricante do dispositivo, ou alguma outra parte envolvida na cadeia de fornecimento, para entregar assim o código malicioso para todos.

Em um evento parecido, a OneSpan, uma fornecedora de tecnologia de autenticação baseada em Chicago, que tem como clientes 2.000 bancos em todo o mundo, relata um aumento nos ataques cibernéticos que têm como alvo os usuários de serviços bancários móveis. “Formas populares de ataques em dispositivos móveis, neste momento, incluem screen scrapers e mecanismos de captura de tela, bem como a instalação de teclados nocivos”, diz o promotor de segurança da OneSpan, Will LaSala.

Este não é um problema exclusivo do Android. “O sistema da Apple é um pouco mais fechado, então este problema é menos visível, mas existe”, diz LaSala.

Armadilhas nos apps para selfies

O fato é que o Android tem uma participação de 85% no mercado mundial de sistemas operacionais para smartphones e isso é irresistível para criminosos. Para ilustrar isso, pesquisadores da Avast descobriram recentemente vários “apps de embelezamento de selfies” na Google Play Store que se passavam por apps legítimos. Porém, estes três apps, Pro Selfie Beauty Camera, Selfie Beauty Camera Pro e Pretty Beauty Camera 2019, na verdade eram ferramentas para espalhar adwares e spywares.

Aparentemente, os aplicativos forneceram a funcionalidade inócua de filtrar e modificar fotos de selfies. Mas, ocultamente, eles funcionavam como ferramentas para exibir anúncios de forma agressiva, bem como para instalar spyware capaz de fazer e escutar chamadas, recuperar a localização do dispositivo e alterar o estado da rede de um dispositivo.

A perícia conduzida pela Avast revelou que cada app foi instalado pelo menos 500.000 vezes, sendo que o Pretty Beauty Camera 2019 foi instalado mais de 1 milhão de vezes, principalmente por usuários do Android na Índia. Com tantas instalações, esses apps receberam milhares de avaliações, na maioria das vezes ruins. E as poucas críticas positivas foram provavelmente falsificadas.

Estruturalmente fraco

O surgimento de ameaças para dispositivos móveis chamou a atenção dos responsáveis na empresa, que talvez pensaram que resolveram as exposições de segurança criadas pelo BYOD (a tendência no mercado de trabalho em que os funcionários levam dispositivos pessoais para o local de trabalho).

Atualmente, ou os funcionários recebem os dispositivos controlados pelas empresas, ou são obrigados a instalar software de gerenciamento de dispositivos em dispositivos pessoais usados para o trabalho. Neste meio tempo, a segurança dos dispositivos móveis continua a avançar, e assim as empresas têm mais opções para lidar com os riscos do BYOD.

Mas o setor corporativo ainda está muito longe de enfrentar as ameaças de segurança de dispositivos móveis em rápida expansão. Trata-se de um problema estrutural. A cadeia de fornecimento que coloca um smartphone (repleto de apps interessantes) em suas mãos não é tão monolítica quanto era quando surgiam redes centradas em PC.

Nos dispositivos móveis, os desenvolvedores de apps independentes têm pouco incentivo para fornecer software seguro, muito menos participar de qualquer iniciativa para melhorar a segurança das plataformas para as quais desenvolvem. Por outro lado, os fabricantes de dispositivos lançam novos modelos com tanta frequência que se torna logisticamente impossível acompanhar o gerenciamento de vulnerabilidades. E as operadoras de telefonia móvel não querem se envolver na entrega de atualizações de segurança por medo de travar milhões de telefones.

Então, o que isso tudo significa para um consumidor como nós? Isso significa que, quando se trata de ataques em dispositivos móveis, o clima de Velho Oeste está apenas começando... e Wyatt Earp não está à vista. Cabe a você proteger a si mesmo e as organizações de seu interesse no mundo de dispositivos móveis de hoje que está cada vez mais perigoso.

Seguir estas dicas de nove práticas recomendadas seria um bom começo. Resumindo: trave seu dispositivo, clique com juízo e use um aplicativo de segurança. Até breve.