Permissões de aplicativos móveis podem ser mais perigosas que malwares

A coleta desenfreada de dados de aplicativos móveis representa um risco de segurança maior para os consumidores e seus dados quando comparado com malware em dispositivos móveis, diz Appthority.

Como os smartphones e outros dispositivos móveis cada vez mais potentes têm se infiltrado em ambientes corporativos nos últimos anos, os profissionais de segurança, temem um aumento correspondente de malwares, semelhante ao que foi testemunhado com os PCs há mais de uma década atrás. Mas, de acordo com um relatório recente, a coleta de dados de aplicativos móveis representa um risco muito maior para empresas e usuários do que os malwares em si mesmos.

O relatório sobre a reputação de aplicativos móveis, lançado este mês pela empresa de análise de apps Appthority, detalhou a coelta generalizada de dados por parte dos atuais top 100 aplicativos gratuítos e pagos nas plataformas Android e iOS. A Appthority coletou os dados para o relatório, executando análise estática, dinâmica e comportamental em todos os 400 aplicativos /* 200 de cada plataforma */ em um ambiente de teste.

Entre os apps Android gratuitos, 88% dos 100 melhores aplicativos disponíveis na Google Play Store coletam UDIDs e/ou IMEIs dos dispositivos, enquanto 82% envolve em algum tipo de rastreamento de localização e 30% acessar os contatos do usuário. Embora a Apple anuncie o iOS como uma alternativa mais segura e orientada a privacidade que o Android, as estatísticas Appthority não são muito melhores para a plataforma. Mais da metade dos 100 melhores aplicativos gratuitos na App Store guarda o UDID e rastreia a localização, e 26% também acessa o catálogo de endereços dos usuários.

Mesmo quando se trata de aplicativos pagos, a empresa com sede em San Francisco descobriu que a coleta de dados ainda era predominante. Nos 100 melhores apps pagos para Android, por exemplo, 65% utiliza detalhes UDID, 49% recolhe dados de localização e 14% acessaram os contatos. No lado do iOS, 28% usaram UDIDs, 24% dados de localização e 8% acessam os contatos.

Dentre os 400 aplicativos analisados, Appthority não encontrou uma única instância de malware móvel. Apenas 0,4% de todas as aplicações em ambientes corporativos contém malware, a empresa observou. A Apple mantém um processo rigoroso de revisão manual de segurança para todos os aplicativos que entram na App Store e a Google emprega uma variedade de táticas para rastrear malwares na Google Play.

"Todo mundo sabe sobre malware móvel", disse o presidente da Appthority, Domingo Guerra em uma entrevista, "mas nem todos sabem sobre essas outras questões."

Guerra disse que a coleta de dados de aplicativos móveis expõe empresas e usuários a uma série de riscos que podem não ser inicialmente aparentes. Por exemplo, se um usuário sincroniza sua conta de email corporativo do Outlook com um smartphone pessoal, esse dispositivo pode agora ter acesso a um extenso catálogo de endereços que contém detalhes de contatos para uma variedade de pessoas importantes para o negócio. Se um aplicativo que coleta as informações do catálogo de endereços for comprometido, os atacantes poderiam ter as informações necessárias para enviar spam para os telefones corporativos desses contactos, reunir detalhes sensíveis de discagem para chamadas corporativas, ler anexos do calendário e muito mais.

A maioria das organizações de fora do governo não são excessivamente preocupados com os dados de rastreamento e localização, disse Guerra. Se os atacantes podem recolher a localização dos principais executivos, potencialmente podem utilizar essa informação para prever fusões ou aquisições com base em visitas a empresas relevantes, por exemplo. Guerra também destacou o famoso incidente em que um soldado americano compartilhou uma foto no Twitter de si mesmo chegar a uma base no Iraque. O quadro inclui detalhes de localização via geotagging, disse ele, o que levou insurgentes a lançar um ataque de morteiro na localização exata e destruiu os helicópteros na base.

E, embora esse tipo de comportamento por aplicativos móveis por si só é motivo de preocupação, Guerra disse que há ainda um grande risco: redes de anúncios. O relatório constatou que, entre os aplicativos gratuitos, 71% na plataforma Android e 32% no iOS permite que redes de anúncios coletem dados. Mesmo entre os aplicativos pagos, 38% no Android e 16% no iOS transferem dados para redes de anúncios e, em tais casos, Guerra disse que um usuário não pode mesmo estar ciente de tais práticas de coleta de dados.

A prevalência de redes de publicidade móvel apresenta vários riscos, de acordo com Guerra. Atacantes se pode passar por redes de anúncios e recolher dados de usuário diretamente, comprometer o desenvolvimento de softwares de uma rede de anúncios e se infiltrar em um aplicativo, ou simplesmente hackear a vasta coleção de dados armazenados por dezenas de redes de publicidade ao redor do mundo.

Há quem esteja reconsiderando o Blackberry como uma opção segura, mas existem algumas medidas que podem ser tomadas para mitigar os riscos.

May The Force be with You!

Fonte: https://www.appthority.com/app-reputation-report/report/AppReputationReportSummer14.pdf