Cada aplicativo móvel é montado a partir de camadas de código que a maioria das equipes de segurança nunca vê: bibliotecas de terceiros, SDKs analíticos, estruturas de publicidade, pacotes de código aberto e binários proprietários que chegam pré-compilados.
Esses aplicativos são executados em dispositivos com firmware, software de chipset, serviços de operadora e aplicativos de sistema pré-instalados. Cada um desses componentes tem suas próprias dependências, ciclos de atualização e suposições de segurança.
Vice-presidente de engenharia de soluções da Quokka.
É por isso que o risco móvel é diferente do risco de software tradicional. É por isso que as organizações continuam a lutar contra vazamentos, exposições e perdas de dados que não parecem violações até que seja tarde demais.
Por que o risco da cadeia de abastecimento móvel é diferente?
Quando os ataques à cadeia de fornecimento chegam às manchetes, geralmente envolvem sistemas de TI empresariais, atualizações comprometidas ou armazéns envenenados. Os dispositivos móveis, no entanto, operam segundo um conjunto diferente de regras.
Em desktops e servidores, as equipes de segurança podem implantar agentes com alta visibilidade do comportamento do sistema, do tráfego de rede e muito mais. Em dispositivos móveis, esse nível de acesso é limitado por design. Sandboxing, modelos de permissão e limitações do sistema operacional limitam a inspeção.
O software de firmware e chipset costuma ser opaco. As empresas não podem remover aplicativos pré-instalados ou patches.
Isto cria uma assimetria: os dispositivos móveis são utilizados para trabalhos sensíveis, mas as organizações têm menos visibilidade interna do que quase qualquer outro ponto.
A abertura do Android permite que os pesquisadores encontrem problemas, mas também introduz fragmentação. Cada fabricante de dispositivo, operadora e fornecedor de chipset adiciona suas próprias camadas de software. O mesmo aplicativo pode se comportar de maneira diferente em dispositivos dependendo do firmware, drivers e serviços pré-instalados.
O ecossistema rigidamente controlado da Apple reduz a fragmentação, mas aumenta a opacidade; os defeitos podem ficar ocultos por anos antes de serem descobertos.
Em ambos os casos, a cadeia de fornecimento móvel vai muito além do desenvolvedor do aplicativo, mas as responsabilidades de segurança ainda cabem à organização.
A confiança se divide em camadas
O ecossistema móvel funciona em um modelo de confiança em cascata. Os desenvolvedores confiam nos SDKs. As empresas confiam nos desenvolvedores. Os usuários confiam nas lojas de aplicativos. As equipes de segurança contam com fornecedores de plataformas. Quando essa corrente é quebrada em qualquer ponto, as consequências se espalham.
Exemplos do mundo real deixam isso claro. Pacotes de código aberto comprometidos chegaram aos aplicativos móveis sem que os desenvolvedores percebessem. SDKs proprietários distribuídos como binários incluem conexões de rede ocultas e criptografia segura.
Aplicativos de sistema pré-instalados vazaram dados de uso de aplicativos, metadados de SMS e identificadores de dispositivos, embora as ferramentas de segurança corporativa nunca tenham notado isso.
Em cada caso, a vulnerabilidade não foi introduzida pela organização que utiliza a aplicação. Foi herdado.
É por isso que o risco móvel é tão persistente: as empresas são responsáveis por software que não escreveram, não podem ver e muitas vezes não podem controlar.
Risco geopolítico adicional
Há uma dimensão geopolítica crescente no risco da cadeia de abastecimento móvel que a maioria das empresas não considera. Muitos SDKs de terceiros usados em aplicativos móveis populares são escritos, mantidos ou operados por empresas sediadas em países adversários ou de alto risco.
Em alguns casos, esses SDKs se comunicam com infraestruturas fora dos EUA ou de jurisdições aliadas, e com leis de vigilância estrangeiras, criando potencial interceptação de dados ou influência na exposição.
Os governos estão cada vez mais a examinar aplicações móveis e SDKs com ligações à China e a outras nações rivais em busca dos dados a que podem aceder e para onde esses dados podem ir.
Quando um aplicativo incorpora um SDK de terceiros, ele herda efetivamente o perfil de risco legal, operacional e geopolítico da entidade por trás dele, mesmo que o desenvolvedor não tenha conhecimento dessas conexões.
Por que a segurança móvel tradicional não funciona mais
A maioria dos programas de segurança móvel ainda depende da aprovação da app store oficial. Isso funcionou em uma época mais simples, quando os aplicativos eram menores e as dependências limitadas.
A verificação da App Store concentra-se em padrões de malware conhecidos, não em vazamentos não intencionais de dados ou comportamento arriscado de terceiros. Isso cria pontos cegos que podem ser explorados por invasores e aplicativos vulneráveis.
Olhar para toda a cadeia de abastecimento requer uma abordagem diferente
Para reduzir o risco na cadeia de abastecimento móvel, as equipas de segurança devem mudar a sua abordagem. A unidade de risco não é mais um aplicativo. É a cadeia de suprimentos por trás do aplicativo.
Isso significa entender qual código está realmente sendo enviado, e não apenas o que está declarado. Significa inspecionar os binários, não apenas a fonte. Significa avaliar o comportamento, não apenas as permissões. E significa tratar software e firmware pré-instalados como parte da superfície da ameaça, e não como algo fora do escopo.
Quando as organizações aplicam práticas de lista de materiais de software móvel combinadas com auditorias binárias e análises comportamentais, elas começam a ver riscos que antes eram invisíveis.
SDKs ocultos, implementações criptográficas desatualizadas, segredos codificados e comunicações de rede inesperadas surgem quando você olha além da superfície do aplicativo.
Mais importante ainda, essas técnicas permitem que as equipes de segurança respondam às mudanças. Os aplicativos móveis são constantemente atualizados. As dependências variam. Novos perigos aparecem sem aviso prévio. A visão constante é a única maneira de avançar.
A nova realidade do risco móvel
Os dispositivos móveis são ferramentas essenciais para os negócios. Eles autenticam usuários, acessam sistemas confidenciais e armazenam dados regulamentados. No entanto, eles continuam sendo uma das partes menos compreendidas da superfície de ataque empresarial.
Até que as organizações comecem a ir além da superfície de aplicativos para a cadeia de fornecimento de aplicativos, o risco herdado continuará a se acumular. Os aplicativos vazados sobreviverão. Bugs de firmware passarão despercebidos. E as organizações continuarão a reagir a incidentes que nunca imaginaram.
A questão já não é se existe um risco móvel na cadeia de abastecimento. A questão é se a sua organização está preparada para ver isso.
Apresentamos o melhor software de criptografia.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
