Com todos os relatos de malware chegando aos dispositivos móveis, vulnerabilidades e ataques, o usuário acaba ficando confuso. Os dispositivos são realmente inseguros? A seguir, você vê alguns dos aspectos práticos da segurança móvel do ponto de vista do consumidor.
Nos últimos meses, ouviu-se muito falar sobre o malware no Google Android Market, fragilidades do Apple iOS etc. Muitos, embora não todos, dos relatórios que apontaram essas vulnerabilidades foram liberados por pessoas que querem, de alguma forma, vender soluções ou serviços de segurança. Isso não quer dizer que os documentos eram falsos, mas a sua gravidade, deve ser sempre verificada com cautela.
De fato, malwares foram encontrados no Android Market, loja de aplicativos para o sistema operacional móvel Android do Google, e removidos em seguida. Não foram publicadas vulnerabilidades que afetem o Android e o iOS, mas de modo geral, os fornecedores estão aplicando atualizações nos sistemas para evitar surpresas.
Então, em vez de focar nos aspectos negativos, vamos dar uma olhada nas ações que um consumidor pode tomar para usar esses dispositivos de forma segura, seja no trabalho ou em casa.
Antes de mais nada, é preciso compreender os riscos. Sem dúvida, o maior risco aos usuários de dispositivo móvel é a perda ou o roubo do aparelho. Caso alguém obtenha o seu dispositivo móvel, ele poderá ter acesso a diversas informações sensíveis pessoais e corporativas. O seu dispositivo pode dar a ladrões acesso a senhas de e-mails e a outros documentos.
Se alguém encontrar o seu dispositivo (por exemplo, no café em que você o esqueceu), ele provavelmente será levado para o ‘achados e perdidos’ ou então será usado pela pessoa que o encontrou. O percentual de pessoas que realmente vão querer ter acesso aos dados é provável bastante pequeno. No entanto, você precisa estar ciente de que a ameaça é real.
O segundo maior risco pode estar na rede de comunicações que pode ser interceptada por alguém que está usando o mesmo Wi-Fi público que você. É um risco muito menor do que perder o dispositivo, mas pode acontecer. Uma pessoa pode, por exemplo, usar a sua rede e capturar todos os dados, com praticamente nenhuma chance de ser pego ou mesmo notado. Ferramentas para isso estão facilmente disponíveis.
Para evitar expor dados confidenciais em seu dispositivo
Evite guardar informações sensíveis no dispositivo. Talvez você tenha nele os dados do cartão de crédito que usa regularmente para transações na internet. Você pode usar essa funcionalidade no aplicativo móvel sem armazená-lo no aparelho. Se seu aplicativo tem a opção de "lembrar" os dados, sempre faça o logout. O mesmo vale para senhas e outras credenciais em geral. Há um ponto negativo nessa atividade já que toda vez que for efetuar transações ou entrar em sites, será preciso inserir senhas, números de cartão de crédito e outras informações com mais frequência.
Faça o download dos aplicativos a partir de fontes confiáveis. Para o iOS, opte pela loja oficial da Apple, a menos que você tenha realizado jailbreak em seu dispositivo. Aqui vai um conselho importante: não faça jailbreak em seu dispositivo. Qualquer recurso de segurança da Apple é completamente contornado quando você opta pelo jailbreak. Isso pode não ser um sentimento popular, mas jailbreaking um dispositivo iOS é provavelmente a pior ação que se pode tomar do ponto de vista de segurança do consumidor.
Para usuários de Android, escolha os grandes Android Markets. Evite as mais obscuras. Evite ainda lojas novas de aplicativos, pode ser muito bom para ser verdade.
Se você deseja armazenar alguns dados sensíveis no aplicativo, considere obter um aplicativo que faz uma análise da segurança. No iOS, existem ferramentas gratuitas, como o Explorer iPhone, que permitem verificar quais arquivos o aplicativo usa.
Em primeiro lugar, verifique as credenciais armazenadas em texto simples. Você também pode usar ferramentas como o Hexdump para olhar arquivos de banco de dados, arquivos executáveis e assim por diante. Procure as credenciais do sistema e outros dados confidenciais não criptografados. Se você não encontrar nada, isso não significa que é seguro, mas é provável que o desenvolvedor de aplicações tome algumas precauções básicas para proteger suas informações.
Para evitar que seus dados sejam interceptados por um Wi-Fi público
Evite Wi-Fi públicas. Essa não é uma boa opção para muitas pessoas, mas garante que os dados não sejam interceptados no Wi-Fi. Você também deve estar ciente de que os dados no 3G não são muito mais seguros, mas é pelo menos um pouco mais.
Use uma VPN. Sem dúvida, a melhor defesa contra a interceptação ao usar um Wi-Fi público é utilizar uma VPN a partir do dispositivo móvel para a rede de destino. Há serviços gratuitos de VPN ou com preços compeititvos disponíveis para hoje. Além disso, muitas empresas fornecem acesso VPN para os funcionários.
Use SSL sempre que possível. Você normalmente não tem a opção de deixar um aplicativo on ou off, mas se estiver usando um aplicativo web é possível. Por isso, quando tiver a opção, use SSL. Se você quiser ver se o seu aplicativo usa SSL, é relativamente fácil de realizar um teste para vê-lo em ação. Configure um compartilhamento sem fio em seu laptop e execute todo o tráfego de rede por meio de um servidor proxy (por exemplo, BurpSuite, WebScarab) em seu notebook. Depois, observe como o aplicativo se comporta. Se seu aplicativo está enviando dados sensíveis - incluindo credenciais - sem criptografia, evite-o a todo custo.
Essas são apenas algumas medidas que você pode tomar, mas já é um bom começo.
É importante identificar as formas de segurança, especialmente porque somos bombardeados com notícias de invasões todos os dias. É claro que assumimos alguns riscos no uso de dispositivos móveis. Mas o importante é estar informado e evitá-los.
Kenneth van Wyk é presidente e principal consultor da KRvW Associates LLC
Nenhum comentário:
Postar um comentário