33% dos apps de Android vazam dados sensíveis; no iOS, taxa é de 20%

Na última quinta-feira (18), foi publicado o Relatório Global de Ameaças Mobile Zimperium, mostrando onde os aplicativos de celular estão mais vulneráveis a ataques, expondo usuários a atividades maliciosas de hackers. Cerca de metade de todos os apps ainda contém segredos hardcoded (dados embutidos diretamente no código-fonte), como chaves de API, o que permite aos cibercriminosos fazer engenharia reversa e explorar falhas assim que o aplicativo é lançado.

• Malware lê capturas de tela do celular e se 'esconde' em apps para Android e iOS
• Novo malware para Android adota técnica 'inédita' para escapar de antivírus
• Como age o malware que lê imagens do celular achado pela primeira vez no iPhone

Segundo o relatório, as fraquezas do lado do cliente estão alimentando novas formas de abusar de aplicativos para roubar dados e cometer outros crimes virtuais, como interceptação de tráfego, e modificar funcionalidades dos apps à vontade.

Vulnerabilidades em Android e iOS

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

O relatório identificou, resumidamente, as seguintes falhas:

• 1 em cada 400 dispositivos Android passou por root (remoção das limitações de fábrica, famosos “desbloqueio”), bem como 1 em cada 2500 aparelhos iOS;
• 3 em cada 1.000 celulares já foram comprometidos;
• 1 a cada 5 dispositivos Android encontra malwares;
• Quase 1 a cada 3 aplicativos financeiros, no Android, e 1 a cada 5 aplicativos de viagem, no iOS, estão vulneráveis a ataques man-in-the-middle (informações interceptadas e manipuladas entre fonte e usuário), mesmo com defesas SSL.

Segundo os especialistas, aplicativos mobile não apenas consomem APIs, mas as expõem. Sem visibilidade nos chamados dos apps e do dispositivo, hackers conseguem mapear e manipular códigos para extrair credenciais e tokens, fazer engenharia reversa e explorar os controles dos aplicativos para simular usos reais.

Ferramentas comuns de defesa, como firewalls comuns e de aplicativos web e gateways de API, são capazes de impedir algumas ameaças, mas não conseguem determinar se o tráfego vem de apps genuínos ou clones. Isso permite que cibercriminosos imitem a identidade, localização e identificadores dos dispositivos. Para melhorar a segurança por parte dos fabricantes, seria preciso permitir o travamento da tela e atualizar os apps constantemente, segundo pesquisadores.

É necessário criar APIs mais seguras, protegendo o lado do cliente e seus tokens com ofuscamento, deixar o armazenamento mais seguro e aplicar defesas em tempo real. Os aplicativos devem ser capazes de validar se chamados de API vêm de fontes genuínas e seguras, rodando em um ambiente confiável. Os especialistas finalizam afirmando que a estratégia precisa mudar: ao invés de proteger o dispositivo, agora devemos começar a deixar o próprio trabalho dos aplicativos mais seguro.

Veja mais:

• Malware para Android espiona apps de banco para roubar dados
• Apps para Android com 11 milhões de downloads infectam celulares com malware
• Spyware, ransomware e ladrão de senhas: novo vírus para Android é "tudo em um"

VÍDEO | É O FIM DO ANDROID? Por que NINGUÉM está falando disso?

Fonte: Infosecurity Magazine