Auditoria de AppWatchDog da ViaForensics revela um cenário porcino de segurança no mobile

Analisemos por um segundo o grande momento dos dois maiores OS mobile atualmente: iOS e Android. Essas duas houses ganhando os tubos, os desenvolvedores desbravando mercados com uma abordagem made-in-Indie, usuários frenéticos consumindo à rodo, tanto que nem mesmo a pirataria de software chegar a incomodar. Mas esse leaking não é só de grana...

Independente daquilo que procuramos explorar em pormenor, destacando falhas e sucessos em ambos, o fato é que a vida ficou bem mais fácil com sistemas portáteis e enxutos, também extremamente robustos e que, até um certo ponto, fazem bem o papel de converter um dispositivo mobile em algo realmente útil hoje.

Okay, Okay.

Uma característica igualmente comum em ambos os OSs é a, digamos, dependência dos aplicativos. O que torna um smartphone ou tablet interessante e multifacetado não está no quão bad-arse podem ser as suas especificações de hardware, seu design ou as suas funcionalidades padrão: são os apps que rodam neles.

Sem aplicativos o mercado mobile seria... medíocre.

Estes que são desenvolvidos por terceiros e que alimentam uma cadeia mercantil que pode render bilhões, à velocidades nada comuns em outros setores da indústria da tecnologia da informação.

Nessa trama, se costuram grandes movimentações e atrativos, como redes sociais para as mais infinitas finalidades, sistemas e programas para o gerenciamento de tudo, projetos incríveis de ciência, gaming e entretenimento.

Já evidamente aclimatados à telinhas menores, abraçamos o que o mobile tem produzido e continuamos sedentos por mais, esperando que o formato dê o seu tão esperado e definitivo salto, realmente ajustando-se às nossas demandas, vontades e expectativas.

Mas qual é o custo, para o usuário, dessa evolução tão ágil e poliforme que se instala, semana a semana, com a tecnologia no mobile?

Segundo uma empresa de auditoria chamada ViaForensics e um importante estudo que realizaram, o custo é alto. Demais.

De 100 aplicativos testados para Android e iOS, os pesquisadores conseguiram recuperar 76 dados pessoais de seus usuários. Por quê? Porque segundo a empresa, a maioria dos desenvolvedores faz um trabalho "porco" de proteção da identidade. Só por isso.

Não faz muito tempo me lembro dos amontoados de pesadas críticas contra o modelo fechado da Apple de aprovar e licenciar o a mão-de-obra alheia de desenvolvimento, dizendo que eram coronelistas demais para acharem que era possível dominar o mundo e controlarem todos via o típico cabresto curto e totalitarismo posh, griffe da casa.

Imagine então se fossem ainda mais deleixados (do que de fato são) com as protocolaridades no desenvolvimento de aplicativos para iOS? Ainda existem por aí trocentas matérias dizendo o mesmo sobre a parquíssima política de desenvolvimento para o Android. O que nos leva a pensar: como as coisas poderiam ficar piores quando não há nada além do limite do óbvio: tão nem aí contigo, memo!

A ViaForensics analisou os principais segmentos de aplicativos e seus maiores expoentes em ambas as plataformas (iOS/Android) e constatou que a maioria deles mantem registros de dados do usuário em formato de texto puro, escancarada e escandalosamente desprotegidos.

Nesse aspecto em particular, os Blackberries acabam até sofrendo com o excesso de zêlo no coding de encriptação de dados e a altíssima confiabilidade na segurança da informação que fazem trafegar entre os seus dispositivos.

"Enquanto muitos podem não considerar seu nome de usuário uma informação sensível, ela é na realidade uma peça muito importante (...) Muitos sistemas requerem apenas o nome de usuário e uma senha (simples), portanto, obter esse nome de usuário quer dizer que 50% do quebra-cabeças na violação já fica resolvido"

-- explica a ViaForensics, dando também um panorama das implicações de segurança em se manter dados sensíveis em formato simples de texto.

O papel aborda áreas como Risco para o Consumidor, Google e Apple, Processos de Testing, Aplicativos Financeiros, de Redes Sociais, de Produtividade e de Vendas a Varejo, produzindo um cenário NADA entusiasmante em relação ao modo como os desenvolvedores se preocupam com a sua segurança.

Em paralelo, um outro estudo de segurança realizado pela Sophos revelou que 70% dos usuários não protegem seus dispositivos mobile.

Uma prática porcina, fruto de uma nova cena econômica e social que, de facto, não poderia ser mais rentável de um lado para uns; mais perigosa e sem sentido para outros.

Para baixar o Paper da Via Forensics, clique aqui (requer login).