O que aprender com cases de falha de segurança em apps mobile?

falha de segurança em app mobile

Segundo uma pesquisa da Codenomicon em 2015, 4 entre os 10 aplicativos mais baixados na Google Play possuíam algum tipo de falha de segurança. Ao todo, foram encontradas 52 falhas de segurança nesses aplicativos, sendo que 8 delas foram relatadas como críticas. Entre eles estavam um app de redes sociais, um de mensagens e, o mais surpreendente: um antivírus onde haviam 46 falhas de segurança!

Essa insegurança de algumas aplicações mobile não são um fato isolado: problemas como a falta de criptografia, ausência de testes de segurança, uso de código de outros desenvolvedores, problemas de restrições de acesso ou plataformas frágeis são algumas situações enfrentadas por certos aplicativos mobile.

É importante que todas as aplicações para smartphones, de um novo serviço, produto ou mesmo associadas a uma plataforma de banco ou comércio eletrônico, passem sempre pelo gestor de TI para que ele analise os problemas e contrate serviços adequados para testar a segurança da aplicação antes que ela seja direcionada aos clientes (público final).

Em 2014, uma pesquisa da IOActive indicou que 90% dos aplicativos de banco possuíam falhas de segurança que poderiam expor dados privados dos usuários à pessoas-mal-intencionadas.

A análise foi feita com apps de 40 das 60 instituições financeiras mais conhecidas do mundo e identificou brechas que permitiam a interceptação de dados pessoais, instalação de malware e controle dos aparelhos das vítimas para a realização de transações financeiras.

Da mesma forma que as plataformas físicas foram se adaptando para a segurança nos últimos anos, o mobile passa por uma fase de identificação e resolução dos problemas. Conforme os usuários tomam mais consciência sobre os riscos que estas aplicações mobile oferecem, eles se tornam mais exigentes nesse sentido e criteriosos sobre quais apps irão ou não baixar.

Para que o app seja usado, ele deverá ser seguro e se não for, além de prejudicar usuários, isso poderá expor negativamente a empresa caso a falha se torne pública.

O gestor deve aprender, portanto, que as aplicações mobile também podem oferecer riscos, mas que estes podem ser minimizados com criptografia das informações e testes de aderência e usabilidade, e em especial, de segurança do app para o usuário.  

Alguns cuidados que você pode tomar são: monitorar aplicativos falsos com nome semelhante ao seu, criptografar todas as informações solicitadas (dados pessoais e bancários de usuários) e promover testes de segurança e Pentest (teste de penetração manual) Mobile. Isso tanto antes da aplicação ser disponibilizada como após, em análises regulares.

O Pentest Mobile é relevante pois é um serviço feito por um analista de segurança de nível sênior que analisa manualmente as brechas de segurança que facilitariam uma invasão no aplicativo. Esse teste gera um relatório com todas as melhorias que devem ser feitas para o aplicativo ficar seguro e a empresa ter maior credibilidade junto ao usuário final.

Comente

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s