Clipping – Info Channel - Como a segurança em aplicativos móveis garante a privacidade das informações?

11/11/2020

Estamos sempre ouvindo e lendo sobre segurança digital, segurança mobile, segurança de dados, segurança na rede, segurança da informação e todos os outros tipos de segurança que ninguém sabe ao certo como funcionam efetivamente e do que nos protegem. A segurança digital é parte importante do nosso cotidiano nos dias atuais, nos quais ninguém se desconecta e nossas vidas parecem cada vez mais atreladas aos smartphones, tablets e computadores. E se engana quem pensa que cuidar dos aspectos de segurança dos aplicativos é tarefa simples.

A preocupação com a segurança em aplicativos mobile começa logo em seu desenvolvimento, fase na qual são levantados pontos como fluxos referentes a transações ou acesso. Nessa etapa, é essencial que haja harmonia entre a segurança e a usabilidade do aplicativo, e cabe aos times de UX (User Experience, ou Experiência do Usuário) e SecOps (Security Operations, ou Operações de Segurança) encontrar esse ponto de equilíbrio.

A maioria dos projetos conta com bibliotecas de dados desenvolvidas por terceiros, sendo primordial a validação desses componentes, analisando suas licenças de uso e se já sofreram com vulnerabilidades. Pensando ainda em um cenário de LGPD (Lei Geral de Proteção de Dados), é necessário que a aplicação possua a maior quantidade de logs e registros possíveis, já que esses itens, além de controle e qualidade da aplicação, podem facilitar a depuração futura de alguma atitude suspeita.

Uma vez que o aplicativo está pronto, cabe à empresa testar sua segurança, tendo em vista que as coisas podem não funcionar tão bem na prática quanto na teoria. Para essa finalidade, existem ferramentas de proxy e programas descompiladores que ajudam a testar a segurança do produto. Se o app não estiver seguro e ofuscado ("embaralhamento" do código fonte), toda a lógica, regra do negócio e até mesmo estratégias de segurança podem ser acessados facilmente por um invasor em posse de uma ferramenta de descompilação. Já com uma ferramenta de proxy, um invasor atua analisando requisições e respostas do aplicativo, identificando se seria possível que alguém interceptasse essas informações - como no ataque cibernético conhecido como man-in-the-middle (homem-no-meio).

Não é porque o aplicativo foi lançado que as preocupações com a segurança desaparecem. As ferramentas utilizadas na etapa de desenvolvimento continuam a atuar com o produto já disponibilizado para o público geral, e é comum que desenvolvedores utilizem um recurso estratégico chamado feature flag, que permite que algumas funcionalidades do app possam ser ligadas ou desligadas sem a necessidade de uma atualização - o que pode levar semanas, levando em conta a disponibilização nas lojas virtuais e adesão dos usuários. Assim, falhas e erros não tão graves podem ser consertados mesmo com o aplicativo funcionando.

No caso eventual da quebra de segurança e vazamento de informações, a resposta ideal é a transparência com os usuários. Com a vigência da LGPD, também é necessário informar a autoridades vigentes. Dependendo do caso, o aplicativo e seus servidores podem ser temporariamente desativados para que a equipe de desenvolvimento possa atuar com a solução.

Com tantos testes e soluções desenvolvidos ao longo dos anos, ainda assim, os usuários não estão completamente seguros, mas é possível se precaver ainda mais e dificultar o trabalho de malwares e pessoas com más intenções. Apesar de já ter se tornado um clichê, é extremamente importante que sejam definidas senhas seguras, com caracteres especiais, letras maiúsculas e minúsculas e números, além de não utilizar a mesma senha para mais de um aplicativo ou site. Também é interessante habilitar os mecanismos de dupla autenticação, quando disponíveis, como receber um código no e-mail ou no celular. Já está se tornando um padrão no mercado, então sua implementação é cada vez mais obrigatória por empresas sérias de desenvolvimento.

Para os usuários, também vale ficar de olho em aplicativos e sites que não prezam pela segurança de seus usuários. Desconfie se um site permitir que você escolha uma senha fraca, como 12345, qwerty, abcd, entre outras. Isso, por si só, já é um indicativo de que não existe uma preocupação com a segurança do usuário. Campos de senha abertos, que mostram o que está sendo escrito, e ausência do duplo fator de identificação também fogem de um padrão de segurança atual.

Prezar pela privacidade do usuário também é um ponto muito importante para os desenvolvedores de aplicativos. Assim, com a evolução dos sistemas operacionais de dispositivos móveis, cada vez mais tornou-se necessária uma explanação e um aceite sobre recursos do dispositivo compartilhados com os desenvolvedores. Por exemplo, há a necessidade de aceite para um aplicativo ter acesso à localização, galeria de fotos, etc. É muito comum desenvolvedores não se preocuparem com o contexto da solicitação de aceite, se aproveitando desses momentos para pedir aos usuários acesso a recursos totalmente fora de contexto. Há diversos aplicativos que antecipam a solicitação de recursos, como galeria de fotos e microfone, por exemplo, antes mesmos de serem necessários na aplicação, o que além de ser um padrão ruim de usabilidade, pode ocasionar em um destino malicioso às informações.

Cada vez mais protagonistas, os smartphones contém muito mais do que as fotos da última viagem ou da última noite com os amigos. Endereços, cartões de crédito, e-mails de trabalho e itens de extrema importância são facilmente armazenados em nossos dispositivos. Por isso, é necessário proteger e tomar sempre os cuidados necessários para que sejamos a única chave de abertura das nossas informações. Afinal, se você cuida da sua carteira e de seus documentos no "mundo real", deve se preocupar também em manter seus dados seguros no universo online.

Fonte: Info Channel