Vídeo: APRESENTA FALHAS CONTINUAMENTE ERRO CORRIGIDO (Novembro 2024)
Os aplicativos frequentemente têm acesso a dados de que não precisam, ou permissões para usar hardware e serviços que não têm nada a ver com o que fazem. Um estudo recente mostra que os problemas são muito mais comuns do que pensávamos.
Os pesquisadores da HP examinaram mais de 2.000 aplicativos iOS entre outubro e novembro e descobriram que nove em cada dez aplicativos tinham sérias vulnerabilidades, de acordo com o estudo divulgado no mês passado. Os problemas variavam entre ter muitas permissões, dados não criptografados e transmitir dados de maneira insegura. Os jogos não precisam ter acesso ao seu catálogo de endereços e não há realmente nenhuma razão para o aplicativo meteorológico ter permissão para enviar e-mails. Se um aplicativo não proteger os dados aos quais tem acesso ou proteger adequadamente como ele usa os componentes principais do sistema operacional, o dispositivo ficará vulnerável a ataques.
Os dispositivos móveis são "os principais alvos de ataques, com aplicativos vulneráveis que fornecem acesso a dados confidenciais", disse Mike Armistead, vice-presidente e gerente geral do grupo de produtos de segurança corporativa do Fortify da HP.
No estudo, os pesquisadores usaram o mecanismo de análise binária e dinâmica automatizada HP Fortify on Demand para testar 2.107 aplicativos, selecionados em 22 categorias diferentes, incluindo produtividade e redes sociais. Embora o estudo tenha se concentrado em aplicativos corporativos personalizados, não é demais supor que problemas de segurança e privacidade semelhantes estejam presentes nos aplicativos que encontraríamos na Apple App Store ou no Google Play.
Não protegendo dados
Quase todos - 97% dos aplicativos testados acessaram pelo menos uma "fonte de informações privadas", como catálogos de endereços pessoais e páginas de mídia social, ou aproveitaram a conectividade Bluetooth ou Wi-Fi. O que é preocupante é que 86% desses aplicativos não dispõem de medidas de segurança adequadas para garantir a proteção dos dados privados, segundo o estudo.
Aproximadamente 75% dos aplicativos usavam criptografia incorretamente ao armazenar dados em dispositivos móveis, segundo o estudo. Os dados não protegidos incluíam senhas, informações pessoais, tokens de sessão, documentos, registros de bate-papo e fotografias.
Foi reconfortante ver que apenas 18% dos aplicativos testados no estudo enviaram nomes de usuário e senhas por HTTP, enquanto os demais aplicativos usavam SSL / HTTPS. No entanto, daqueles que usam o modo seguro de transmissão, quase 20% tiveram implementações incorretas de SSL / HTTPS. Isso significa que os dados ainda estão vulneráveis a serem detectados por invasores mal-intencionados.
Os desenvolvedores precisam intensificar
Em geral, os sistemas operacionais móveis - Android e iOS - estão melhorando ao descrever explicitamente quais permissões o aplicativo solicita. Também existem diretrizes mais rígidas sobre que tipo de dados os aplicativos podem acessar. No entanto, ainda cabe ao usuário examinar a lista de permissões, entender as implicações e tomar a decisão de que as solicitações não são razoáveis.
O melhor cenário seria se os desenvolvedores incorporassem segurança e privacidade aos aplicativos desde o início. Eles precisam pensar em como seus aplicativos interagem com outros aplicativos e o sistema operacional. Eles precisam considerar como seus aplicativos podem acessar dados com segurança.
As empresas precisam mudar de "rápido para o mercado", para "seguro e rápido para o mercado", afirmou a HP.