5 razões pelas quais a segurança do aplicativo móvel falha

Views: 130
0 0
Read Time:5 Minute, 12 Second

Tradicionalmente, grandes organizações e a empresa têm sido o foco para hackers e ataques maliciosos, mas nos últimos anos, o surgimento de sofisticadas ferramentas de hackers e bancos de dados vazados na dark web,em conjunto com a proliferação de dispositivos móveis e a riqueza de dados confidenciais armazenados nesses dispositivos, tornaram os dispositivos móveis um alvo mais fácil e igualmente frutífero. O aumento do trabalho remoto e do BYOD também fez dos dispositivos individuais uma potencial “rota” para uma organização maior.

Armazenar informações sobre dispositivos e o uso de aplicativos inseguros e não sancionados — que podem não estar em conformidade, podem violar a privacidade ou estar propensos a hackear ou vazar — tornou-se mais prevalente. Como resultado, a segurança de aplicativos móveis está no topo da lista de riscos de muitas empresas. Quase todos os funcionários acessam regularmente dados corporativos de seus smartphones; isso significa manter informações confidenciais fora das mãos erradas continua sendo uma questão complexa para muitas empresas. O custo de não proteger dados confidenciais permanece alto, com o custo médio de uma violação de dados corporativos em um preço de 3,92 milhões de dólares.

Claramente, o modelo de ameaça é diferente para dispositivos móveis. Há muito mais risco de dados confidenciais serem roubados ou vazados devido à natureza portátil dos dispositivos e aos tipos de aplicativos que são usados. Os dispositivos móveis de trabalho são frequentemente compartilhados, enquanto os aplicativos móveis são altamente conectados a serviços web ou associados a sensores de dispositivos, como câmeras, microfones e sistemas de detecção de localização. Muitos dispositivos também têm recursos de pagamento e contêm detalhes confidenciais da conta.

Os 5 principais riscos de segurança de aplicativos móveis

De fato, quase todos os aplicativos móveis que minha equipe e eu analisamos este ano correm o risco de ser explorados por hackers. A questão mais básica é o armazenamento de dados inseguro, com as ameaças mais óbvias representadas pelo malware. Os cinco principais riscos para a segurança de aplicativos móveis que as empresas e indivíduos precisam estar cientes são os seguintes:

Controles fracos do lado do servidor: Qualquer comunicação entre um aplicativo e o usuário fora do dispositivo móvel, passa por um servidor. Portanto, o servidor se torna um alvo principal para cibercriminosos. As precauções que podemos tomar para garantir a segurança do lado do servidor vão desde a contratação de um especialista especializado em segurança cibernética internamente até o uso de uma ferramenta de teste e tomar as precauções usuais. No entanto, um problema mais grave ocorre quando os desenvolvedores de um aplicativo não implementam medidas tradicionais de segurança do lado do servidor. Algumas razões comuns para isso incluem:

  • Orçamentos de segurança pobres e falta de conhecimento em segurança cibernética.
  • Dependência excessiva do SO móvel para atualizações de segurança e responsabilidade.
  • Vulnerabilidades devido ao desenvolvimento e compilação entre plataformas.

29% dos componentes do lado do servidor contêm vulnerabilidades que podem causar interrupção da operação do aplicativo

Confiança cega na segurança da loja de aplicativos: Como as lojas de aplicativos são pré-instaladas em nossos dispositivos móveis para permitir o acesso à maioria dos aplicativos móveis, presume-se que a loja de aplicativos tenha realizado due diligence nos aplicativos em suas lojas e esses aplicativos são seguros. Isso muitas vezes não é o caso. Muitos comerciantes de lojas de aplicativos não têm capacidade ou orçamento para garantir que os aplicativos que eles fazem sejam seguros. As lojas de aplicativos contêm muitos aplicativos para verificar cada um deles, então muitos nos abrem para riscos que podem nos prejudicar e às empresas para as quais trabalhamos.

Armazenamento de dados inseguro: Outra brecha básica de segurança de aplicativos móveis é a falta de armazenamento seguro de dados. A prática padrão para desenvolvedores é depender do cliente para armazenamento de dados. Mas o armazenamento do cliente não é um ambiente de sandbox, onde violações de dados são impossíveis. O aplicativo está ao vivo e em uso, portanto, no caso de uma aquisição do celular por alguém diferente de seu proprietário, esses dados podem ser facilmente explorados, manipulados e usados. Isso pode resultar em fraude de identidade, danos à reputação e violação de políticas externas (por exemplo, em torno de PCI).

Fácil autorização e autenticação: Processos de autenticação fáceis e inadequados permitem que hackers operem anonimamente um aplicativo móvel ou acessem o servidor back-end de um aplicativo. Isso é comum devido ao fator de forma de entrada de um dispositivo móvel, que promove pequenas senhas que normalmente são baseadas em PINs de quatro dígitos.

Ao contrário dos aplicativos web tradicionais, não se espera que os usuários de aplicativos móveis estejam online durante suas sessões, e as conexões de internet móvel não são tão seguras quanto as conexões web tradicionais. Portanto, os aplicativos móveis podem precisar de autenticação offline para se manterem atualizados. Esse requisito offline pode gerar brechas de segurança que os desenvolvedores precisam considerar ao construir ou executar a autenticação móvel.

Criptografia quebrada: Criptografia quebrada é um problema básico de segurança de aplicativos móveis que ocorre devido à criptografia ruim ou implementação errada. Ao explorar essas vulnerabilidades, os cibercriminosos podem descriptografar os dados importantes para sua forma inicial e manipulá-los ou roubá-los. A criptografia quebrada pode acontecer devido à dependência completa de processos de criptografia incorporados, ao uso de protocolos de criptografia personalizados, ao uso de algoritmos vulneráveis e outras razões. Os cibercriminosos também podem se beneficiar de um gerenciamento de chaves ruim, como o armazenamento de chaves em locais de fácil acesso ou não chaves de codificação difíceis dentro do binário.

Com a introdução dos sistemas operacionais IOS e Android da Apple, as tecnologias móveis inteligentes revolucionaram completamente a forma como pessoas e empresas se comunicam. O sucesso do smartphone e sua facilidade de uso levaram os consumidores a usar dispositivos móveis para realizar uma variedade de atividades, incluindo trabalho remoto. Embora a popularidade das tecnologias móveis tenha simplificado muito nossas vidas, ela também criou dor de cabeça para as empresas que desenvolvem essas aplicações e fornecem os sistemas back-end para apoiar sua operação. Os custos de lidar com incidentes de crimes cibernéticos chegaram ao ponto em que agora é uma grande ameaça para o resultado corporativo.

FONTE: SECURITY BOULEVARD

Previous post Série Code42 Incydr: por que a maioria das empresas não consegue parar de afastar o roubo de dados de funcionários
Next post Patch para vulnerabilidade crítica do VMware ESXi incompleta

Deixe um comentário