Neste ano serão vendidos aproximadamente 2,2 bilhões de smartphones e tablets para usuários finais em todo mundo, de acordo com projeção do Gartner. E, apesar de ainda serem raros os incidentes com segurança provenientes de dispositivos móveis, a consultoria prevê que, até 2017, 75% das violações de segurança móvel serão resultados de erros de configuração de aplicações.
"Violações de segurança móveis são — e continuarão a ser — resultado de erros de configuração e uso indevido de aplicativos, em vez de por causa de ataques profundamente técnicos em dispositivos móveis", diz Dionisio Zumerle, analista de pesquisas do Gartner. "Um exemplo clássico de erro de configuração é o mau uso de serviço em nuvem pessoal através de aplicativos instalados em smartphones e tablets. Quando utilizado para transmitir dados da empresa, esses aplicativos podem vazar dados da organização."
Com o aumento do número de smartphones e tablets e a redução nas vendas de PCs tradicionais, os ataques a dispositivos móveis tendem a crescer e se tornar mais sofisticados. Desse modo, o estudo prevê que, em 2017, o foco de violações de se deslocará para esses aparelhos.
Para causar danos significativos, no entanto, o malware precisa agir em dispositivos que tenham sua configuração alterada. O processo mais conhecido, que abre brecha para que o aplicativo malicioso prolifere, é o jailbreaking, o qual engana os sistemas que impendem a instalação de aplicações não autorizadas operem. Sempre que a Apple lança um novo iPhone ou uma versão do sistema operacional iOS inicia-se uma corrida para jailbreak para os sistemas da Apple, mas isso ocorre também em dispositivos equipados com o Android, do Google.
Outro método é o root, que permite ao usuário mudar aspectos de configurações impostas pelo fabricante, como aumentar o clock do processador, atribuir um esquema diferente de gerenciamento de memória, modificar arquivos de configuração internas que alteram o comportamento do Android, fazer cópias de segurança de configurações dos aplicativos e restaurá-las posteriomente são só alguns exemplos. Entre os riscos do root estão o fato de o usuário descuidado poder apagar ou modificar coisas que não deve e simplesmente estragar o sistema, ou permitir que aplicativos maliciosos instalem rootkits ou abrir brechas propositais quando instalados e executados pelo usuário desatento, quebrando por fim qualquer segurança do sistema.
Embora esses métodos permitam aos usuários acessar determinados recursos de dispositivos que são normalmente inacessíveis — na verdade, na maioria dos casos elas são executadas deliberadamente pelos usuários —, eles também colocam dados em perigo. Isso porque eles removem proteções específicas da aplicação e da "sandbox", área separada de todo o resto do dispositivo, fornecida pelo sistema operacional, que pode ser usada para testar qualquer programa, sem medo de que ele danifique o sistema caso algum arquivo nocivo entre em ação. O uso de "artimanhas" como o jailbreaking ou rooted também podem permitir que o malware baixado para o dispositivo deixa o aparelho aberto para todos os tipos de ações maliciosas, incluindo extração de dados da empresa.
A melhor defesa é manter os dispositivos móveis com uma configuração segura, por meio de uma poítica de gerenciamento de dispositivo móvel (MDM, na sigla em inglês), complementada pela blindagem de aplicativos e "contâineres" que protegem dados importantes. O relatório recomenda que os responsáveis pela segurança de TI adotem uma MDM corporativa para dispositivos baseados no Android e no iOS da seguinte forma:
• Exigir que os usuários sigam as políticas básicas da empresa, e estarem preparado para revogar os controles de acesso em caso de alterações. Usuários que não são capazes de trazer os seus dispositivos em conformidade com essas politicas deve ter o acesso aos aplicativos negado — ou extremamente limitado.
• Exigir que as senhas dos dispositivos incluam extensão e complexidade, bem como rigorosos padrões de repetição e de tempo de espera.
• Especifique versões mínimas e máximas de plataformas e sistemas operacionais. Não permitir modelos que não possam ser atualizados ou apoiados.
• Aplicar uma regra impedindo o uso de jailbreaking ou rooted, e restringir o uso de lojas virtuais de aplicativos não aprovadas. Dispositivos passíveis de sofrer violação devem ser desligados de fontes de dados de negócios.
• Exigir aplicativos assinados e certificados para acesso a e-mail comercial, redes privadas virtuais, Wi-Fi e aplicativos blindados.
Os responsáveis pela segurança de TI também precisam usar métodos de controle de acesso à rede para negar conexões empresariais para dispositivos que exibem atividade potencialmente suspeita. "Também recomendamos que favoreçam serviços de reputação para celular e estabelecer o controle externo do malware no conteúdo antes de ser entregue para o dispositivo móvel", diz Zumerle.
