Ultimamente, o uso dos smartphones e tablets vem aumentando consideravelmente, favorecendo o crescimento do mercado de aplicações mobile. Esse mercado, que inicialmente era voltado para a produção de jogos, já ganhou aplicativos para auxiliar o usuário final em diversas áreas, tanto em sua vida pessoal quanto na profissional.

O grande problema do crescimento desenfreado do desenvolvimento de aplicações mobile é a falta de padrões de desenvolvimento, frameworks e a linguagem de desenvolvimento em si, o que acaba abrindo brechas para diversos tipos de ataques.

Segundo a NTT Comunications, o sistema operacional Android, da Google, domina o mercado de aplicações mobile com uma fatia de 70%, seguido pelo iOS da Apple, com 21%. Nos últimos 2 anos, cerca de 73% das empresas que desenvolvem nesse mercado sofreram ataques por meio de aplicações web, que têm, em média, 12 vulnerabilidades diferentes que podem ser explorada por pessoas mal-intencionadas.

A maioria das aplicações mobile são também aplicações web, por existir a necessidade de se comunicarem com um servidor externo. Como os desenvolvedores dessas aplicações estão mais focados no desempenho e eficiência do aplicativo, muitas vezes as implicações de segurança são deixadas de lado, deixando-os vulneráveis a ataques — ainda que existam várias razões para investir na segurança de aplicações.

As aplicações mobile têm diferentes partes que podem conter brechas para ataques de hackers. A seguir, vamos apresentar as principais:

Aplicativos móveis podem ter facilmente sua versão binária extraída, e, por meio de programas que invertem a compilação, é possível recuperar boa parte do código fonte da aplicação.

Por meio da análise do código recuperado, é possível identificar as bibliotecas de terceiros que são utilizadas, arquivos modificados para serem enviados para o servidor ou salvos no dispositivo, a lógica por trás do funcionamento e até dados a respeito do servidor que responde às requisições do aplicativo.

É possível dificultar a obtenção desses dados por meio de técnicas de ofuscação do código, ou seja, inserir partes de linguagem de máquina no código que torna custosa a compreensão por leitores humanos, e deixar as lógicas do aplicativo somente no servidor da aplicação.

Aplicações mobile são instaladas com diferentes níveis de privilégio e têm diversos componentes que se comunicam entre si. Cada componente tem permissões individuais, que vão desde salvar ou modificar arquivos no dispositivo até enviar dados para outros dispositivos ou servidores.

Sendo assim, é muito importante tomar cuidado com a segurança desses componentes pois outro programa pode, por meio de um aplicativo móvel, interagir com eles, mesmo que não tenha permissão para isso.

Os aplicativos mobile muitas vezes devem transmitir para um servidor ou armazenar dados a fim de ter seu funcionamento correto. Os dados transferidos por meio da web devem ter um sistema sólido de autenticação e confidencialidade para evitar que hackers possam obter informações a respeito do servidor e acessar dados contidos lá, evitando ataques como man-in-the-middle, que permite que o hacker intercepte o dado enviado, podendo copiá-lo ou até mesmo alterá-lo antes do mesmo chegar no servidor.

Os dados armazenados no dispositivo devem estar seguros para evitar que hackers possam obter os registros do banco de dados do aplicativo, que pode conter login e senha de aplicações bancárias, por exemplo.

O servidor provavelmente armazenará a maior parte das informações de diversos usuários de uma aplicação. Sendo assim, é o componente mais delicado em questão de segurança da aplicação. O servidor deve ser capaz de identificar e rejeitar ataques como SQL Injections e fazer validações das sessões entre ele e uma aplicação mobile para preservar os dados armazenados. 

Essas são apenas algumas dicas que ensinamos a respeito da segurança para aplicativos mobile . Para ter acesso a outras informações e novidades sobre segurança online, assine nossa newsletter!

Veja também: