Lar Securitywatch Os usuários corporativos correm o risco de perder dados através de 78% dos aplicativos móveis

Os usuários corporativos correm o risco de perder dados através de 78% dos aplicativos móveis

Vídeo: NÃO PRECISA RESETAR (Remova Vírus, Apps, Erros e Configurações sem perder nada) | Guajenet (Novembro 2024)

Vídeo: NÃO PRECISA RESETAR (Remova Vírus, Apps, Erros e Configurações sem perder nada) | Guajenet (Novembro 2024)
Anonim

Muitos aplicativos para celular vêm com diversos anúncios, a capacidade de conectar-se às mídias sociais, ou ambos. Estes podem parecer complementos inofensivos, colocados no aplicativo para fins de lucro para o desenvolvedor do aplicativo. No entanto, esses recursos podem acessar as PII de um usuário ou informações de identificação pessoal. A capacidade dos add-ons de acessar informações confidenciais é perigosa não apenas porque suas funções podem coletar informações confidenciais após o usuário aprovar as permissões do aplicativo, mas as informações também podem ser expostas sem o conhecimento do usuário.

Um estudo da Mojave Networks, uma startup de segurança de tecnologia sediada em San Mateo, Califórnia, usou o Threat Labs para testar 11 milhões de URLs que enviam e recebem dados em mais de 2000 aplicativos instalados por seus clientes, com o estudo focado em usuários corporativos. Esses URLs foram então colocados em categorias com base na conexão com uma das três bibliotecas: redes de anúncios, APIs de mídia social ou APIs de análise. Os resultados mostraram que 78% dos aplicativos baixados estão conectados a um dos três grupos, o que coloca os usuários em risco de acesso desconhecido a suas informações pessoais ou, pior ainda, perda de dados pessoais ou comerciais.

Falta de responsabilidade

O que é ainda mais chocante é como essas bibliotecas são implementadas. Eles são utilizados pelo desenvolvedor, que recebe o código de terceiros. Esses códigos são usados ​​principalmente para ajudar a coletar receita com anúncios, acompanhar as estatísticas do usuário ou integrar-se às mídias sociais. O relatório mencionou que existem milhares dessas bibliotecas disponíveis e, na maioria das vezes, esses códigos de terceiros geralmente não coletam PII. No entanto, nem todos eles podem ser confiáveis. Na maioria dos casos, o desenvolvedor geralmente implementa o código com pouca ou nenhuma revisão do que ele contém, deixando você com a decisão de confiar cegamente no julgamento do desenvolvedor e arriscar a chance de permitir que essas bibliotecas acessem seus dados sem o seu conhecimento.

Para piorar a situação, o usuário é vinculado às políticas específicas da biblioteca apenas baixando e instalando o aplicativo sem nunca ver os detalhes da política. Do ponto de vista comercial, isso pode resultar em falta de responsabilidade e dificulta aos administradores de TI decidirem qual aplicativo representa um risco à segurança.

Em média, cada aplicativo tem cerca de nove permissões. Cinco deles são considerados muito perigosos, pois podem fornecer acesso a informações que, de outra forma, seriam mantidas em sigilo. Por exemplo, o Airpush, uma das principais bibliotecas de anúncios do estudo, coleta os seguintes dados:

    • ID do Android
    • Marca e modelo do dispositivo
    • Tipo e versão do navegador móvel
    • endereço de IP
    • Um ID gerado pelo Airpush
    • Lista de aplicativos móveis instalados no telefone.
    • "Outros dados técnicos sobre o seu dispositivo."

Se você der permissão, o Airpush também poderá coletar:

    • Localização geográfica precisa, incluindo país e CEP.
    • IDs de dispositivo, incluindo o número de identificação internacional de equipamento móvel (IMEI), o número de série do dispositivo e o endereço MAC (Media Access Control).
    • Histórico do navegador e muito mais.

Os usuários podem desativar parte da coleta de dados, como a lista de aplicativos móveis instalados e o histórico do navegador.

Se você instalar um aplicativo que usa o Airpush, ele poderá obter acesso a todas essas informações sem o seu conhecimento. A pior parte é que esse amplo acesso a informações privadas é típico e nada de novo no mercado de aplicativos móveis.

Prevenção de usuários

Há muito o que o usuário pode fazer em termos de permissão e recusa de permissões para cada aplicativo, especialmente se ele deseja obter todo o potencial do aplicativo. Felizmente, existem dois ótimos aplicativos que lidam com a detecção dessas possíveis violações.

Se o Lookout determinar que uma rede de anunciantes está agindo por conta própria, sem o consentimento do usuário, classifica a rede como adware. Além disso, fornece informações sobre o adware, incluindo sua identificação, função e possíveis danos ao usuário. O viaProtect é outra ótima ferramenta, fornecendo um gráfico visual para onde os dados do usuário estão indo em termos de rede e país e quanto deles são criptografados. Isso permite que o usuário tome uma decisão informada sobre a exclusão ou não de determinados aplicativos que fornecem informações demais.

A segurança é fundamental na era digital. Aplicativos como Lookout e viaProtect permitem que os usuários saibam se seus dados estão em risco, mas ainda é difícil impedir que as bibliotecas possam acessar as PII de um usuário. Por enquanto, ler as letras pequenas e tomar uma decisão informada é a melhor maneira de combater o acesso indesejado em um dispositivo móvel.

Os usuários corporativos correm o risco de perder dados através de 78% dos aplicativos móveis