[Editorial] O ataque dos Apps

0

Você comprou seu smartphone, foi na loja e já saiu baixando um monte de Apps, porém, usar mesmo, será no máximo 6 no final das contas. Mas, na loja do robô especificamente, as pessoas por lá não gostam de pagar por Apps. Então, como fazer? Simples, como o público não quer pagar, mas existe uma base enorme de usuários, muitas empresas adotam o modelo de troca justa: tenha seus aplicativos favoritos móveis gratuitamente, mas, isso tem um preço, você verá anúncios irritantes em troca, ou seja, não existe almoço grátis e alguém precisa pagar as contas.

Mas, isso não é tudo o que você estará entregando de graça. Na realidade, este comércio normalmente, te obriga a abrir mão de uma grande quantidade de informações pessoais. Aplicativos móveis coletam uma quantidade maciça de dados pessoais — sua localização, sua história online, seus contatos, sua agenda, sua identidade e muito mais. E todos esses dados são instantaneamente compartilhados com as redes de publicidade móvel, que usam para determinar o melhor anúncio para qualquer determinado usuário em qualquer dado momento e em qualquer lugar.

Então, a compensação, ou a conta, não é realmente apenas anúncios para Apps — é uma intrusiva vigilância móvel dos Apps. Ao concordar com aplicativos grátis para celular e anúncios patrocinados, já consentimos para um modelo econômico que implica vigilância pessoal contínua e abrangente. É o que Al Gore define com precisão como: a economia do perseguidor (stalker economy).

Por que nossos dados pessoais, locacionais e comportamentais são tão cobiçados por comerciantes? Porque um smartphone é algo que levamos como consumidores aonde quer que vamos, e constantemente está transmitindo dados pessoais de todos os tipos. Se os anunciantes sabem quem somos, onde estamos e o que estamos fazendo, eles podem entregar anúncios mais eficazes. É chamado de marketing de proximidade.

Em um primeiro momento, não parece haver motivo para se irritar, mas, isso vai muito além do que imaginamos. Agora nós temos habilitado um sistema onde um grande varejista pode saber, por exemplo, que um adolescente está grávida antes de seus pais, simplesmente correlacionando sua atividade, pesquisas e dados adquiridos. O varejista pode então chegar via correio ou e-mail, ou enviar através do telefone, quando ela está perto de um ponto de venda. Esta intromissão na nossa privacidade coletiva não vai desaparecer tão cedo (ou nunca), com os incentivos econômicos para desenvolvedores de apps e anunciantes são muito fortes, ou seja, é muito dinheiro envolvido.

Para exemplificar, a principal receita do Google vem de ads (publicidade), com incríveis 89,9%, o que demonstra que advertising é o principal negócio do Google.

Um smartphone comprometido representa uma ameaça não só para o empregado alvejado, mas para toda a empresa.

Ok, concordamos, este tipo de vigilância do consumidor é intrusiva e assustadora. Mas, como ele ameaça a segurança da empresa? Simples. Com dispositivos móveis pessoais invadindo o mundo dos negócios, os vazamentos desses dispositivos estão abrindo as portas para hacks corporativos, ataques cibernéticos incapacitantes e dados corporativos roubados.

Por exemplo, se uma empresa permite que seus funcionários sincronize calendários corporativos e contas para seus dispositivos móveis pessoais de e-mail, isso abre todos os tipos de riscos. De repente, os telefones dos empregados contêm ou podem acessar as informações de contato de todos na organização. Além disso, qualquer outro aplicativo móvel que solicite acesso a contatos e calendário dos funcionários também obtém acesso aos nomes e títulos dos funcionários da empresa, bem como os códigos de discagem para todas as chamadas de conferência privadas. Esta informação pode ser facilmente colocada para uso efetivo em um ataque de phishing lançado por um aplicativo malicioso ou hacker.

Pior, muitos apps monetizam sua base de usuários através do compartilhamento de dados com redes de anúncios, que dividem e combinam dados com outras redes, por isso,  é impossível saber para onde vão exatamente esses dados e se estão sendo tratados de uma forma segura por qualquer uma das muitas partes que têm acesso a ele. Nem tudo desta partilha significa que um hacker mal-intencionado acessará diretamente o telefone do funcionário para atacar uma empresa. Ele pode invadir uma rede de publicidade que possui informações de milhões de usuários e de lá fazer o estrago.


Informações roubadas também podem ser usadas para atacar uma empresa através de um ataque regador (watering hole attack). Por exemplo, um pequeno grupo de executivos almoçam regularmente em um restaurante local. Um invasor com acesso aos seus dados de geolocalização facilmente poderia saber isso. O atacante corretamente supõe que alguns dos executivos estão acessando o site do restaurante para fazer reservas e navegando  pelo menu antes do almoço. Colocando o malware no site levemente defendido, o hacker é capaz de comprometer o computador do escritório ou o dispositivo móvel de um ou mais executivos da empresa. A partir daí, uma quebra de sucesso é lançada.

Um smartphone comprometido representa uma ameaça não só para o empregado alvejado, mas para toda a empresa. Informações sobre as atividades dos trabalhadores, tanto no trabalho como em outros lugares, combinado com qualquer empresa de e-mails, documentos ou informações confidenciais, podem ser devastadoras para uma organização, se estiverem em mãos erradas.

Então, o que as empresas podem fazer para combater a ameaça?

O primeiro passo é obter visibilidade no ambiente móvel. Sua organização precisa saber quais apps os funcionários estão usando, o que fazem aqueles apps e se estão ou não em conformidade com as diretivas de segurança corporativa. Por exemplo, existe um app de compartilhamento de arquivos particularmente arriscado e você não quer que os funcionários utilizem? Já está sendo usado? Se não sabe quais apps os funcionários estão usando para o trabalho, você está voando às cegas e correr um risco enorme.
É imperativo que a sua empresa inclua proteção a ameaça móvel como parte de sua estratégia global de segurança.

Em segundo lugar, você precisará de uma política para gerenciar o uso de dispositivos móveis. A maioria das organizações já têm condições para outras plataformas, incluindo gerenciamento de firewall e compartilhamento de dados com parceiros. É igualmente importante criar estas condições gerais para mobile. Por exemplo, se os funcionários estão usando versões gratuitas dos apps que são aprovados pela empresa, mas, contém anúncios, deve-se criar uma política em que os funcionários possam atualizar para a versão paga para minimizar, ou eliminar, dados não autorizados na forma de anúncios, sendo enviado para os funcionários — embora isso não elimine a implacável recolha de dados pessoais e privados.

Em seguida, sua organização deve educar os funcionários sobre os riscos de baixar apps. É de seu interesse capacitar os usuários e munir com ferramentas e treinamento para tomar melhores decisões sobre quais aplicativos baixar. Por exemplo, treinar seus funcionários para perguntar sobre apps que pedem permissão. Muitos apps desejam acessar a localização, contatos ou câmera. Os funcionários não precisam dizer sim automaticamente. A maioria dos apps vão funcionar bem se a solicitação for negada e solicitar aos usuários se uma permissão é realmente necessário. Se um aplicativo não diz por que precisa acessar determinados dados e recursos ou impede sua utilização, pode acender uma luz vermelha de perigo.


Finalmente, todas estas áreas podem ser tratadas com uma boa solução de segurança móvel. Qualquer empresa sem uma solução de proteção de ameaça móvel é, por definição, inconsciente de que informações estão vazando e de onde; é incapaz de lidar com os riscos existentes em seu ambiente. Portanto, é imperativo que sua empresa inclua proteção de ameaça móvel como parte de sua estratégia global de segurança para proteger dados de privacidade da companhia e dos funcionários da ameaça crescente de vigilância móvel e coleta de dados.

A Microsoft possui diversas soluções de segurança para você e sua empresa. Saiba mais sobre algumas dessas soluções abaixo e mantenha-se seguro.

Windows 10

Microsoft Azure

Microsoft Intune

Azure Active Directory

E como não poderia deixar de ser, use um telefone com Windows 10!

Fonte: TechCrunch

Share.

About Author