Permissões de aplicativos móveis podem ser mais perigosas que malwares

A coleta desenfreada de dados de aplicativos móveis representa um risco de segurança maior para os consumidores e seus dados quando comparado com malware em dispositivos móveis, diz Appthority.

Como os smartphones e outros dispositivos móveis cada vez mais potentes têm se infiltrado em ambientes corporativos nos últimos anos, os profissionais de segurança, temem um aumento correspondente de malwares, semelhante ao que foi testemunhado com os PCs há mais de uma década atrás. Mas, de acordo com um relatório recente, a coleta de dados de aplicativos móveis representa um risco muito maior para empresas e usuários do que os malwares em si mesmos.

O relatório sobre a reputação de aplicativos móveis, lançado este mês pela empresa de análise de apps Appthority, detalhou a coelta generalizada de dados por parte dos atuais top 100 aplicativos gratuítos e pagos nas plataformas Android e iOS. A Appthority coletou os dados para o relatório, executando análise estática, dinâmica e comportamental em todos os 400 aplicativos /* 200 de cada plataforma */ em um ambiente de teste.

Entre os apps Android gratuitos, 88% dos 100 melhores aplicativos disponíveis na Google Play Store coletam UDIDs e/ou IMEIs dos dispositivos, enquanto 82% envolve em algum tipo de rastreamento de localização e 30% acessar os contatos do usuário. Embora a Apple anuncie o iOS como uma alternativa mais segura e orientada a privacidade que o Android, as estatísticas Appthority não são muito melhores para a plataforma. Mais da metade dos 100 melhores aplicativos gratuitos na App Store guarda o UDID e rastreia a localização, e 26% também acessa o catálogo de endereços dos usuários.

Mesmo quando se trata de aplicativos pagos, a empresa com sede em San Francisco descobriu que a coleta de dados ainda era predominante. Nos 100 melhores apps pagos para Android, por exemplo, 65% utiliza detalhes UDID, 49% recolhe dados de localização e 14% acessaram os contatos. No lado do iOS, 28% usaram UDIDs, 24% dados de localização e 8% acessam os contatos.

Dentre os 400 aplicativos analisados, Appthority não encontrou uma única instância de malware móvel. Apenas 0,4% de todas as aplicações em ambientes corporativos contém malware, a empresa observou. A Apple mantém um processo rigoroso de revisão manual de segurança para todos os aplicativos que entram na App Store e a Google emprega uma variedade de táticas para rastrear malwares na Google Play.

"Todo mundo sabe sobre malware móvel", disse o presidente da Appthority, Domingo Guerra em uma entrevista, "mas nem todos sabem sobre essas outras questões."

Guerra disse que a coleta de dados de aplicativos móveis expõe empresas e usuários a uma série de riscos que podem não ser inicialmente aparentes. Por exemplo, se um usuário sincroniza sua conta de email corporativo do Outlook com um smartphone pessoal, esse dispositivo pode agora ter acesso a um extenso catálogo de endereços que contém detalhes de contatos para uma variedade de pessoas importantes para o negócio. Se um aplicativo que coleta as informações do catálogo de endereços for comprometido, os atacantes poderiam ter as informações necessárias para enviar spam para os telefones corporativos desses contactos, reunir detalhes sensíveis de discagem para chamadas corporativas, ler anexos do calendário e muito mais.

A maioria das organizações de fora do governo não são excessivamente preocupados com os dados de rastreamento e localização, disse Guerra. Se os atacantes podem recolher a localização dos principais executivos, potencialmente podem utilizar essa informação para prever fusões ou aquisições com base em visitas a empresas relevantes, por exemplo. Guerra também destacou o famoso incidente em que um soldado americano compartilhou uma foto no Twitter de si mesmo chegar a uma base no Iraque. O quadro inclui detalhes de localização via geotagging, disse ele, o que levou insurgentes a lançar um ataque de morteiro na localização exata e destruiu os helicópteros na base.

E, embora esse tipo de comportamento por aplicativos móveis por si só é motivo de preocupação, Guerra disse que há ainda um grande risco: redes de anúncios. O relatório constatou que, entre os aplicativos gratuitos, 71% na plataforma Android e 32% no iOS permite que redes de anúncios coletem dados. Mesmo entre os aplicativos pagos, 38% no Android e 16% no iOS transferem dados para redes de anúncios e, em tais casos, Guerra disse que um usuário não pode mesmo estar ciente de tais práticas de coleta de dados.

A prevalência de redes de publicidade móvel apresenta vários riscos, de acordo com Guerra. Atacantes se pode passar por redes de anúncios e recolher dados de usuário diretamente, comprometer o desenvolvimento de softwares de uma rede de anúncios e se infiltrar em um aplicativo, ou simplesmente hackear a vasta coleção de dados armazenados por dezenas de redes de publicidade ao redor do mundo.

Há quem esteja reconsiderando o Blackberry como uma opção segura, mas existem algumas medidas que podem ser tomadas para mitigar os riscos.

May The Force be with You!

Fonte: https://www.appthority.com/app-reputation-report/report/AppReputationReportSummer14.pdf

Bases com amostras de Vírus

Se você quer alguns samples de virus para propósitos de pesquisa:

* Repositório do VX Collectors Edition

* Virus Share com mais de 18.000.000 amostras de malware (em 27 de agosto/2014)

Use com cautela e May The Force be with You!

Ferramentas de Análise de Vulnerabilidade

Muitas ferramentas de gestão de vulnerabilidades que antes eram open source, como o Nessus, foram transformados em produtos comerciais, enquanto outras oferecem apenas uma versão gratuita para uso não-comercial ou em uma rede de tamanho limitado. Nessus foi certamente o principal scanner de vulnerabilidade open source, mas a empresa Tenable Network Security mudou para licença proprietária em outubro de 2005. Uma alternativa é o OpenVAS, que começou como um fork do projeto Nessus original.

OpenVAS é uma estrutura de vários serviços e ferramentas para varredura e gerenciamento de vulnerabilidades. Ele é alimentado com testes de vulnerabilidade mais de 33 mil redes, e é atualizado regularmente. Várias outras ferramentas de segurança gratuito estão integradas no OpenVAS, incluindo plug-ins, como Nmap, um utilitário para a descoberta de rede e inventário. Uma das tarefas críticas em uma avaliação de vulnerabilidade é descobrir todos os recursos que existem dentro da infra-estrutura de rede; Nmap é uma das melhores ferramentas para fazer isso. Organizações muitas vezes omitem a fase de descoberta quando realizam uma avaliação de risco de vulnerabilidade, em vez de trabalhar o que eles conhecem (ou o que eles pensam que conhecem). O Nmap pode fornecer um inventário completo, para fins de avaliação e auditoria.

Empresas que operam uma rede baseada em Microsoft têm a opção de usar o programa gratuíto Baseline Security Analyzer da Microsoft (MBSA), um scanner autônomo de segurança e vulnerabilidade projetado para identificar erros de configuração de segurança comuns. Ele também inclui verificações internas para administração do Windows, Internet Information Server (IIS) e vulnerabilidades de SQL, além de atualizações de segurança para o sistema operacional e aplicativos do Office. Os relatórios produzidos pelo MBSA mostram classificações baseado na gravidade das falhas, de acordo com as recomendações de segurança da Microsoft, e oferecem orientações específicas sobre como corrigir quaisquer problemas. O Blog de Segurança da Microsoft tem mais informações sobre suas outras ferramentas de segurança.

Se uma empresa executa serviços voltados para a Internet, varredura de vulnerabilidades de aplicativos da Web é muito importante; a maioria das vulnerabilidades são encontradas na camada de aplicação, e é aí que os atacantes concentram a maior parte de seus esforços. A principal ferramenta open source de pentest é o Metasploit, que pode ser usado para simular ataques a uma rede para avaliar e validar as vulnerabilidades, verificando a eficácia dos controles de segurança utilizados para mitigá-los.

Nenhuma ferramenta de gestão de vulnerabilidades - livre ou proprietária - é plug-and-play, do tipo configure-e-esqueça. Embora essas ferramentas agregem grande valor, as equipes de segurança precisam de tempo para aprender como elas funcionam, como elas podem ser usados sem afetar o dia-a-dia da operação e o tráfego da rede, e que os resultados e relatórios significam.

É claro que não faz sentido a realização de uma avaliação de risco, se as correções e controles não são postos em prática para reduzir as vulnerabilidades encontradas. Este é o estágio em que o gerenciamento de vulnerabilidades realmente reduz o risco e reforça a postura geral de segurança de uma empresa. Lembre-se também que a avaliação de risco de vulnerabilidade não é um evento único, mas sim uma atividade contínua. Uma vez que a equipe de segurança agiu sobre os resultados e implantados os controles de segurança apropriados, provavelmente está na hora de repetir o processo.

May The Force be with You.

Fonte: http://searchsecurity.techtarget.com/answer/The-best-free-vulnerability-risk-assessment-tools