É seguro dizer que todos os consumidores e funcionários utilizam e dependem de aplicações móveis, tanto para trabalho como para lazer, todos os dias, gerando milhares de milhões de dólares na economia móvel global. Os funcionários usam aplicativos móveis para armazenar e acessar dados corporativos e de clientes que devem ser protegidos.
No entanto, a última edição do relatório Custo de uma violação de dados para 2023 da IBM revela um custo médio de US$4,45 milhões por violação, marcando um aumento de 15% nos custos de violação de dados em apenas três anos. Além disso, o relatório Global Consumer Expectations on Mobile App Security de 2023 da Appdome indica que 41,8% dos consumidores afirmam que eles, um amigo ou membro da família foram vítimas de um ataque cibernético em um aplicativo móvel.
Os consumidores utilizam aplicações móveis para fazer compras, gerir as suas contas bancárias, viajar, comer, obter cuidados de saúde e muito mais, esperando privacidade e proteção dos dados pessoais. Portanto, para proteger todos os usuários, evitando intrusões em aplicativos móveis, as organizações precisam considerar um conjunto mínimo de requisitos para ser possível garantir o básico em cibersegurança e evitar invasões sem seus aplicativos móveis.
“Com o alto custo de uma violação de dados, é imperativo que as organizações reconheçam e abordem os principais vetores de ataque que os criminosos cibernéticos exploram. Proteger os utilizadores de aplicações móveis não é apenas uma prioridade, mas uma necessidade urgente para garantir a segurança dos dados corporativos e pessoais dos utilizadores, ao mesmo tempo que proporciona maior confiança e lealdade do consumidor para com a marca.” enfatiza Chris Roeckl, Chief Product Officer at Appdome.
A Appdome afirma que a segurança dos aplicativos móveis deve ser uma prioridade para todas as empresas. Abaixo são descritos quatro requisitos que podem garantir maior proteção contra o comprometimento de aplicativos móveis e garantir o básico em relação à cibersegurança.
Garantir a integridade do sistema operacional
A segurança de aplicativos móveis começa com a garantia da segurança do ambiente em que o aplicativo opera. Uma violação de integridade no sistema operacional móvel, como Jailbreak (iOS) ou Root (Android), torna o ambiente operacional do dispositivo móvel inseguro. Jailbreaking é o processo de remoção de restrições de software impostas pela Apple em dispositivos iOS, permitindo a instalação de aplicativos não autorizados. Root é a prática equivalente em dispositivos Android, concedendo acesso privilegiado para modificar o sistema operacional.
Os cibercriminosos costumam fazer jailbreak ou root em um dispositivo como a etapa inicial na tentativa de comprometer o aplicativo móvel. Eles podem atacar ainda mais o aplicativo móvel para encontrar pontos fracos no aplicativo, nos sistemas de back-end e nas APIs para montar ataques corporativos em grande escala.
Em outros casos, eles exploram usuários móveis que já fizeram jailbreak ou root em seus dispositivos para fins pessoais e, assim, expõem vulnerabilidades que podem ser exploradas por cibercriminosos para comprometer a segurança do dispositivo, como roubo de identidade de usuário, acesso a segredos corporativos, manipulação de geolocalização para fraude ou manipular jogos para obter vantagens injustas.
Criptografar armazenamentos conhecidos de dados do usuário
A maioria dos aplicativos móveis gera ou armazena vários tipos de dados essenciais para seu funcionamento, incluindo chaves de API, credenciais de usuário, transações, históricos de eventos e muito mais.
O especialista esclarece que para se proteger contra roubo de dados e credenciais, as organizações e desenvolvedores móveis devem aprimorar seus aplicativos com forte criptografia de dados de qualquer informação armazenada no dispositivo, usada na memória ou transmitida pela rede. Dessa forma, todos os dados confidenciais de aplicativos móveis, como credenciais de usuários, segredos corporativos ou transações financeiras, estarão sempre protegidos.
Detecção e prevenção de bots móveis
Detectar a presença e impedir a interação de bots maliciosos com o aplicativo ou infraestrutura serve como uma medida preventiva altamente eficaz. Se conseguirem infiltrar-se em aplicações ativas, podem lançar ataques aos servidores web de uma organização, para perturbar a rede, roubar informações confidenciais ou lançar ataques fraudulentos em grande escala. As organizações já estão protegendo aplicativos móveis contra bots integrando soluções como o MOBILEBot Defense da Appdome. A extensão permite portabilidade total entre diferentes Web Application Firewalls (WAF).
“Essas extensões visam economizar recursos para empresas ou marcas que possuem aplicativos, é uma solução completa que protege aplicativos de dispositivos móveis contra bots (programas automatizados). Ela identifica, analisa e defende contra diversos tipos de ameaças comuns do dia a dia, como aplicativos falsos, programas maliciosos, ataques de bots, tentativas de preenchimento de credenciais, DDoS (ataques distribuídos de negação de serviço) e tomada de controle de contas (ACTS)”, revela Roeckl.
Proteger a base de código do aplicativo
Outro vetor de ataque comum que os hackers exploram envolve invadir o aplicativo móvel e alterá-lo por meio de engenharia reversa do aplicativo para saber como ele é codificado. Os hackers empregam essa técnica para criar versões maliciosas do aplicativo, cavalos de Tróia ou simplesmente roubar propriedade intelectual (IP). Além disso, os invasores procuram segredos, símbolos de depuração ou quaisquer outras vulnerabilidades que possam facilitar o roubo e explorar usuários finais desavisados.
“É fundamental que as proteções operem de forma independente e em todo o aplicativo móvel para evitar qualquer ponto único de falha na sua postura de segurança. Também é importante empregar métodos exclusivos para proteger diferentes partes do aplicativo móvel. Esta abordagem não só aumenta a segurança, mas também mitiga o risco de falhas em cascata ou de efeito ‘dominó’”, diz Roeckl.