Segundo pesquisa realizada pela FGV em 2019, hoje temos 235 milhões de smartphones no Brasil. E se contarmos dispositivos digitais, de forma geral chegamos ao número chega a de 420 milhões. É inquestionável o poder de penetração dos dispositivos mobile na vida das pessoas. Mas como está o cenário da segurança mobile em 2020?
Smartphones hoje representam 56% dos dispositivos móveis dos brasileiros.
Infelizmente ainda são poucos os dados relacionados à segurança de aplicações mobile no Brasil.
No entanto, podemos tomar como base algumas pesquisas realizadas em outros mercados. Elas podem muito bem apontar um caminho semelhante do que acontece no Brasil.
O que os dados nos contam sobre segurança mobile
Em pesquisa feita pela empresa Pradeo, podemos perceber que o maior vetor de ataques em 2019, e que se mantém assim em 2020, são softwares utilizados nos dispositivos mobile.
Em um cenário ainda mais preocupante, foram identificados, em uma amostra de 50 mil dispositivos Android, cerca de 10% de dispositivos contaminados por aplicações malware.
Aqui podemos imaginar que o comportamento do usuário em relação à segurança mobile é totalmente inexistente.
Em contrapartida a esta percepção da falta de cuidado por parte do usuário, temos a certeza da quantidade de dados sensíveis e pessoais que são e estão armazenados em nossos dispositivos móveis.
Nestes dados ficam claros que dispositivos Android são muito mais afetados do que dispositivos iOS. Isso não quer dizer diretamente que o sistema operacional Android é mais vulnerável, e aqui temos uma série de dados a analisar, que vão desde poder aquisitivo do usuário até a quantidade nominal de dispositivos com um sistema ou outro.
Situação semelhante encontramos quando vamos falar de problemas de segurança em sistemas Windows ou Linux.
Há diferença entre os sistemas operacionais quando o assunto é segurança mobile?
A questão de sistemas operacionais é bem complexa de ser analisada, pois envolve um monte de outros cenários. E para representar isso, podemos mostrar que a quantidade de usuários de iOS que rodam sistemas desatualizados é bem maior que sistemas Android.
Mas uma vez, não demonstra que um sistema seja mais seguro que o outro, aqui é mais provável que isso seja um comportamento tanto do usuário, quanto do fabricante, que deixa de fornecer atualizações a modelos mais antigos.
Quando pensamos nas motivações a ataques a aplicações mobile, talvez este próximo gráfico possa nos ajudar a entender o que é buscado pelos atacantes. Nos parece que o objetivo do ataque mobile não se difere muito dos ataques à aplicações web, onde na grande maioria o objetivo são os dados.
Como comentamos, o fato de termos aumento nos ataques e explorações de sistemas mobile também pode ter relação com uma mudança no comportamento do usuário, que muitas vezes para usar certo tipo de aplicação precisa comprometer o seu próprio dispositivo.
Algumas recomendações
A pesquisa aponta que a grande maioria dos ataques realizados com sucesso tiveram suas portas de entrada em ataques de Phishing, o que demonstra que o comportamento do usuário está sendo muito explorado nos ataques.
Isto nos leva a entender que um possível caminho para a redução da quantidade de ataques seja a crescente e contínua orientação dos usuários.
No entanto, como produtores de aplicações mobile, não podemos deixar de seguir algumas orientações que vão ajudar a manter este tipo de comportamento mais controlado.
Um desenvolvimento mais estruturado e criado para levar segurança para todo o pipeline de desenvolvimento pode ser um forte aliado em reduzir as vulnerabilidades no produto final.
Já colocamos em nosso blog alguns artigos que podem ser lidos sobre processo de desenvolvimento seguro, sugiro a leitura.
Criptografia de dados
Outro ponto que deve ser usado pelos produtores de aplicações é a criptografia de dados.
A criptografia de dados deve ser pensada como uma forte barreira existente entre os dados e seus atacantes. E como tal, deve ser sempre que possível utilizada.
Manter dados e trafegar dados criptografados pode ser uma das grandes vantagens da sua aplicação.
Outro ponto a ser observado é a crescente ameaça que são os ataques usando UNICODE para dificultar a validação de domínios. O uso de ataques Punycode deve ser um dos fatores que devemos estar atentos.
Como podemos ver, é simples implementarmos domínios falsos que serão analisados de forma correta por aplicações que não estejam preparadas para validar corretamente o seu domínio.
Aqui não temos a intenção de criar uma lista de ações a serem realizadas, mas apenas alertar para modelos de ataques que estão sempre presentes e que aumentam com o descuido do usuário e com as fracas práticas de desenvolvimento usado pelas empresas.
Uma boa sugestão de leitura e estudo podem ser os documentos da OWASP sobre controles de segurança para aplicações mobile. Eles trazem uma série de oportunidades de melhorias e avanços no desenvolvimento de aplicações mobile mais seguras.
Esperamos ter contribuído com mais um pouco de informações sobre este tema que está tão presente no nosso dia a dia e que precisamos olhar com mais atenção.
