3 mitos de segurança móvel ou do lado do cliente desmascarados

Views: 181

Quando se trata de vulnerabilidades de aplicativos móveis, os profissionais de segurança costumam pensar em ataques de dia zero ou tentativas de acesso a dados confidenciais. Essas são ameaças muito reais, mas você também deve considerar ataques mais sutis, como engenharia reversa e hooking. Esses ataques aproveitam o entendimento muito restrito da indústria sobre segurança móvel ou do lado do cliente, que muitas vezes se estende à infraestrutura de dispositivos e nada mais.

O Instagram descobriu isso da maneira mais difícil em 2022, quando Alessandro Paluzzi, um desenvolvedor conhecido por aplicativos móveis de engenharia reversa, descobriu um recurso não lançado semelhante ao popular aplicativo BeReal. Ao identificar o recurso no código do aplicativo móvel, Paluzzi não foi prejudicado por quaisquer proteções no nível do dispositivo.

Os aplicativos móveis apresentam um desafio de segurança único porque muitos de seus processos e códigos são executados no dispositivo do usuário, tornando-os mais suscetíveis a análises e adulterações. Os profissionais de segurança devem expandir sua compreensão da segurança do lado do cliente para proteger os aplicativos móveis das ameaças sofisticadas atuais.

Impacto de um aplicativo móvel comprometido

Há muitas maneiras pelas quais um aplicativo móvel comprometido pode impactar negativamente um negócio, incluindo:

• Propriedade intelectual roubada e perda de vantagem competitiva
• Danos à marca e à confiança do consumidor
• Perda de receita devido a versões modificadas do aplicativo enviadas para lojas de terceiros
• Multas por violações regulatórias

Considere o vazamento do produto do remador Peloton . Em 2021, 9to5Google confirmou uma máquina de remo Peloton inédita com base em detalhes encontrados em seu aplicativo Android. Esse vazamento provavelmente prejudicou os esforços de marketing planejados, questionou a segurança do aplicativo Peleton e deu aos concorrentes a chance de vencê-lo no mercado.

Três mitos sobre segurança do lado do cliente

Infelizmente, a indústria está infestada de conceitos errados que dificultam a segurança abrangente de aplicativos móveis. Aqui estão os três que vemos com mais frequência.

1. Todos os dados confidenciais são protegidos

Mito: todos os dados confidenciais permanecem no lado do servidor, por isso tenho certeza de que estão criptografados e protegidos. Como não armazeno dados confidenciais no dispositivo móvel do usuário, não preciso de proteção adicional.

Contraponto: muitas vezes é verdade que muito poucos dados confidenciais são armazenados no dispositivo do usuário do aplicativo, mas isso não significa que sejam seguros. Se o aplicativo estiver em execução, processos, código e comunicações com o servidor estarão expostos.

Sem proteções adicionais, um invasor pode obter informações sobre:

• Como o aplicativo se comunica com o servidor
• Onde faz criptografia
• Como ele lida com a autorização
• Onde captura informações confidenciais

2. Ameaças baseadas no usuário estão além do meu controle

Mito: não tenho controle sobre o dispositivo do usuário do aplicativo ou sobre como ele o utiliza, portanto, não há nada que eu possa fazer para evitar malware ou ataques de phishing.

Contraponto: talvez você não consiga se proteger contra ataques de malware, mas pode proteger seu aplicativo contra outras ameaças. Quando partes do código e strings não são ofuscadas ou comentários são deixados no código como metadados, eles servem como pontos de partida para engenharia reversa e conexão. Eles podem ser usados ​​para obter informações sobre “segredos” ocultos no código e permitir exposição não autorizada, roubo de propriedade intelectual, danos à marca ou qualquer outra coisa.

3. O sistema operacional irá me proteger

Mito: fiz minha parte mantendo todos os componentes usados ​​em meu aplicativo móvel atualizados, para poder confiar na segurança do sistema operacional (SO).

Contraponto: A principal preocupação do sistema operacional não é a segurança de nenhum aplicativo móvel, mas sim a segurança do próprio dispositivo. Por exemplo, um estudo da Symantec encontrou 1.822 aplicativos iOS com tokens de acesso AWS expostos, permitindo acesso a serviços privados de nuvem AWS. As proteções do iOS não fizeram nada para sinalizar esta vulnerabilidade ou protegê-la. Sempre presuma que um aplicativo está sendo executado em um ambiente hostil e prepare-se adequadamente.

Como melhorar a segurança do lado do cliente

No momento em que seu aplicativo móvel é lançado, sua empresa passou inúmeras horas desenvolvendo novos recursos interessantes para encantar seu mercado-alvo. Para proteger esse investimento, você deve implementar uma estratégia abrangente de segurança de aplicativos móveis.

Use estas recomendações para começar.

1. Apoie-se em padrões e estruturas de segurança, como o OWASP Mobile Application Security Verification Standard ( MASVS ) e o Mobile Application Security Testing Guide ( MASTG ), para orientar sua estratégia de segurança de aplicativos móveis.
2. Integre a segurança em todos os estágios do ciclo de vida do DevSecOps , em vez de torná-la uma etapa de última hora antes do lançamento.
3. Implemente mecanismos poderosos de proteção em nível de aplicativo que incluem proteção de código e verificações de autoproteção de aplicativo em tempo de execução (RASP). Nem todas as soluções são criadas iguais, por isso é importante garantir que as soluções de proteção que você está avaliando forneçam o nível de segurança necessário.
4. Priorize os testes de segurança para detectar vulnerabilidades comuns no início do processo de desenvolvimento. O ideal é escolher uma solução de teste projetada para aplicações móveis e baseada no OWASP e em outros padrões do setor.
5. Use o monitoramento contínuo de ameaças para identificar atividades suspeitas, fraudes ou trapaças e refine continuamente sua estratégia de segurança.

Próximos passos

Os profissionais de segurança devem entrar em contato com a segurança de aplicativos móveis do lado do cliente ou correm o risco de agentes mal-intencionados analisarem, adulterarem e fazerem engenharia reversa do código de seus aplicativos.

Uma estratégia abrangente de segurança de aplicativos móveis — incluindo processos e ferramentas de proteção, teste e monitoramento — é a única coisa que pode se interpor entre seu aplicativo e os atores da ameaça que tentam inspecionar seu código.

Para obter mais dicas sobre como fortalecer os fundamentos de sua estratégia de segurança de aplicativos móveis, confira Abrace o Mobile App Trifecta .

FONTE: DARKREADING