0
0
O volume de ameaças móveis está aumentando e os atacantes estão ficando mais sofisticados, com quase um terço dos ataques de zero-day agora visando dispositivos móveis, mostram novos dados.
Em seu relatório anual de ameaças móveis publicado esta semana, a empresa de segurança cibernética Zimperium diz que dados de seus serviços mostram que quase um quarto dos dispositivos móveis encontraram malware no ano passado, enquanto 13% tiveram seus dados interceptados por um ataque de máquina no meio e 12% foram direcionados para um site malicioso. O aumento do risco cibernético vem à medida que a área de superfície de ataque de aplicativos móveis cresceu, com mais de 900 CVEs (Common Vulnerabilities and Exposures, vulnerabilidades e exposições comuns) relatadas em 2021 que afetam diretamente o Apple iOS ou o Google Android. Além disso, os riscos aumentaram dos componentes de terceiros usados pelos desenvolvedores, e uma variedade de configurações erradas têm minado a segurança dos serviços em nuvem que sustentam aplicativos móveis.
Os dados sugerem que os adversários estão encontrando maneiras de explorar os ecossistemas de software tradicionalmente fortes em torno de dispositivos móveis, diz Richard Melick, diretor de relatórios de ameaças da Zimperium.
“Houve uma mudança crucial na paisagem, pois os dispositivos móveis estão sendo cada vez mais visados pelos atacantes”, diz ele. “Esses dispositivos móveis são fundamentais para nossas vidas cotidianas, e são ferramentas de trabalho críticas, [então] as organizações têm que abordar o dispositivo móvel com a mesma segurança em mente que os pontos finais tradicionais.”
O cenário móvel mudou nos últimos dois anos, pois a pandemia coronavírus forçou os funcionários a trabalhar em casa, muitas vezes usando seus próprios dispositivos. Atualmente, dois terços das organizações têm uma política ativa de trazer seu próprio dispositivo (BYOD) para os trabalhadores, com outros 11% procurando adicionar a opção no próximo ano, de acordo com o relatório da Zimperium. Antes da pandemia, apenas 40% tinham uma política BYOD em vigor.
Além disso, mais funcionários dizem considerar seus dispositivos móveis uma ferramenta necessária para realizar seu trabalho. Para isso, mais de três quartos dos profissionais de tecnologia contam com pelo menos quatro aplicações em seus dispositivos móveis, afirma o relatório.
“Dispositivos móveis e tradicionais estão convergindo, e as versões móveis estão cada vez mais substituindo suas contrapartes tradicionais, capazes de acessar e processar altas quantidades de dados longe dos limites de um escritório”, diz Esteban Pellegrino, cientista-chefe da Zimperium, em um ensaio no relatório. “Com o avanço de cada novo aplicativo na tecnologia, há riscos desconhecidos e ameaças a serem superadas.”
Cerca de um em cada quatro usuários do Zimperium — 22% na América do Norte — “encontrou” malware em 2021. O termo, que normalmente não é bem definido em relatórios do setor, refere-se a clicar em um link malicioso ou abrir um anexo malicioso. Alguém teria que se envolver com o link ou o apego, diz Melick, da Zimperium.
Não só o malware é mais provável de ser encontrado, mas os programas maliciosos têm mais truques, diz ele.
“Estamos vendo malware que está mirando vários serviços; estamos vendo um malware que força uma redefinição de fábrica do dispositivo”, diz Melick. “A natureza complicada do malware tradicional está transbordando para o espaço móvel.”
Também: Phishing
Os ataques de phishing também decolaram durante a pandemia do coronavírus, com 61% dos entrevistados da pesquisa que disseram estar vendo um pico nos ataques de phishing. Além disso, os atacantes estão adaptando sites de phishing para navegadores móveis e para aproveitar os imóveis de tela limitada no dispositivo típico.
“Quando os sites de phishing são adaptados ao dispositivo móvel — porque o usuário nem sempre pode ver a URL ou alguns dos outros sinais de fraude — os erros são mais fáceis de cometer nessas telas pequenas, por isso é muito mais provável que eles cliquem no link errado”, diz Melick.
Na última década, os ataques aos usuários de celular aumentaram, com os atacantes tentando se adaptar à onipresença dos dispositivos. No entanto, embora os encontros tenham aumentado, isso não significa que ataques bem sucedidos decolaram. Além disso, o foco da Zimperium no aumento de 466% nas vulnerabilidades exploradas de zero-day vistas por dispositivos móveis em 2021, em comparação com o ano anterior, fala menos de um aumento de ameaças e provavelmente mais a um aumento nas pesquisas e recompensas por bugs.
Os dados são do Project Zero do Google, que documentou três vulnerabilidades que impactaram o iOS, o Android ou o mecanismo do navegador WebKit em 2019 e 2020. Em 2021, no entanto, havia quatro vulnerabilidades iOS, seis Android e sete WebKit supostamente exploradas. O mecanismo do navegador WebKit é usado pela Apple — e alguns produtos Linux —.
Entre sites de phishing e mais explorações de zero-day, os dados sugerem que os atacantes têm mais opções para comprometer dispositivos.
FONTE: DARK READING