OneSpan Blog

Entrega de confiança por meio de proteção e blindagem de aplicativos móveis

Segurança de Aplicativo Móvel
Will LaSala, 11 de Abril de 2018

Hospedamos webcasts regularmente sobre tópicos como proteção de aplicativos móveis, fraude, autenticação, RASP e análise de riscos para fornecer orientações sobre como proteger seus clientes e dados. Se você perdeu nosso último webcast, Entrega de confiança através da proteção e proteção de aplicativos móveis , aqui está o resumo de 5 minutos. A apresentação completa está disponível sob demanda .

À medida que os dispositivos e aplicativos móveis proliferam, as organizações se preocupam cada vez mais com as ameaças que a mudança para uma plataforma móvel representa. De acordo com um 2017 Pesquisa da Verizon dos 600 profissionais de mobilidade, mais de 70% dos entrevistados disseram que os riscos associados aos dispositivos móveis aumentaram nos últimos 12 meses, e continuarão a fazê-lo em 2018.

Os profissionais de mobilidade não são os únicos a perceber. De acordo com Pesquisa Juniper , "Mais de 2 bilhões de usuários acessarão serviços bancários de varejo por smartphones, tablets, PCs e smartwatches em 2018, um aumento de 10% yoy . ”Apesar desse aumento na adoção do banco móvel,“ uma proporção significativa dos consumidores ainda reluta em confiar nos serviços móveis, incluindo serviços bancários e pagamentos ”.

A realidade é que os bancos precisam adotar canais digitais para crescer, e a confiança dos clientes no canal móvel está no centro dessa transformação digital. Ganhar confiança exige que os bancos garantam:

  • Identidade de seus usuários online e móveis
     
  • Integridade dos dispositivos que seus clientes usam
     
  • Confiabilidade das transações bancárias dos clientes

Os atacantes geralmente consideram as oportunidades de ataque por dois lados: o lado do cliente e o back-end. Os bancos têm muito mais controle sobre o back-end e podem garantir com mais eficácia que sua infraestrutura atenda aos padrões de segurança, dificultando ataques bem-sucedidos. Os aplicativos bancários móveis, no entanto, residem nos dispositivos dos clientes, que é um ambiente amplamente fora do controle do banco. E, apesar dos esforços para proteger a plataforma, os usuários se tornam o elo mais fraco. Afinal, alguns usuários se envolverão em atividades arriscadas, incluindo:

  • Jailbreak ou root de seus dispositivos para baixar aplicativos gratuitos
     
  • Conexão a redes gratuitas, independentemente de sua confiabilidade
     
  • Adiando atualizações críticas de segurança para o sistema operacional

Isso cria um grande desafio na prevenção de fraudes bancárias móveis. As transações móveis ainda estão no oeste selvagem, e os fatores acima desempenham um papel significativo na confiança dos bancos nos dispositivos em que seus aplicativos bancários móveis estão instalados.

No final do dia, os bancos e os prestadores de serviços financeiros estão sob enorme pressão para atender às expectativas dos clientes em relação a experiências móveis seguras, convenientes e fáceis. Porém, o canal móvel se tornou o alvo de escolha dos criminosos cibernéticos e os ataques a aplicativos bancários estão em alta histórica. Então, como os bancos reconciliam essas forças concorrentes e criam confiança na experiência móvel?

Vejamos o fortalecimento e a blindagem de aplicativos móveis como uma maneira de fazer isso.

Ameaças à segurança de aplicativos móveis 

O ano passado foi um alerta para os desenvolvedores de dispositivos móveis preocupados com a segurança de seus aplicativos. Vimos vários indicadores apontando para um aumento maciço no crescimento de ameaças à segurança móvel, incluindo:

  • UMA Aumento de 72% em amostras exclusivas de malware móvel coletadas pelo McAfee Labs
     
  • UMA Aumento de 70% no número de aplicativos que o Google criou em sua loja de aplicativos

Superfície de ataque do dispositivo: Quais comportamentos podem apresentar problemas?

Além disso, o malware móvel está se tornando mais complexo e sofisticado. Hoje, o malware móvel é mais do que apenas criar aplicativos móveis falsos. Ele pode aproveitar o código do programa real que todo aplicativo usa. Isso significa que os aplicativos em si - mesmo aqueles que foram criados com cuidado - podem ser uma ameaça.

Exemplos de ameaças avançadas ao ambiente móvel incluem:

  • Corrupção do ambiente de execução: Quando o sandbox do aplicativo é interrompido em um dispositivo destravado, os dados armazenados no dispositivo podem ser lidos ou atualizados por qualquer outro aplicativo em execução no mesmo dispositivo. (Por exemplo, com acesso root, o malware pode acessar as credenciais bancárias do usuário)
     
  • Engenharia reversa da aplicação: Por meio de instrumentação e depuração, agentes maliciosos podem modificar a funcionalidade principal de um aplicativo ou criar uma duplicata exata do aplicativo.  De qualquer forma, o ator malicioso publicará o aplicativo em uma loja de aplicativos para que as vítimas baixem e instalem. Durante a instalação, o aplicativo modificado normalmente instala silenciosamente aplicativos maliciosos que roubam dados do usuário e do ambiente do usuário.
     
  • Modificação da aplicação: Aplicativos modificados e reembalados são publicados em um armazenamento alternativo para download pelas vítimas de ataques phishing. O malware de mineração de criptografia está sendo empacotado com muitos aplicativos redistribuídos.

Criando um ambiente móvel confiável

Muitos aplicativos são desenvolvidos sem um forte foco em segurança; portanto, adicionar segurança à vida diária do desenvolvimento é o primeiro passo para criar uma experiência móvel confiável. Os desenvolvedores geralmente recebem especificações para a funcionalidade do aplicativo, mas as especificações para código seguro nem sempre fazem parte da definição do produto. Além disso, os padrões de codificação seguros podem variar, dependendo da linguagem de codificação específica e das bibliotecas usadas no desenvolvimento do aplicativo.

Pode ser tentador para os desenvolvedores procurar bibliotecas de terceiros para aproveitar o fluxo de trabalho e o código para resolver problemas específicos. Isso pode facilitar a vida, mas os desenvolvedores podem ter problemas se assumirem que o código foi revisado por falhas de segurança. Ao considerar essa opção, os desenvolvedores enfrentam quatro opções sobre o que fazer a seguir:

  1. Ignorar completamente a segurança (não é uma boa ideia)
     
  2. Use módulos de código aberto (que raramente são revisados de uma perspectiva de segurança / risco)
     
  3. Faça você mesmo (e espero que o aplicativo móvel seja seguro)
     
  4. Use bibliotecas de API disponíveis comercialmente, criadas especificamente para proteger aplicativos móveis

Como prática recomendada, recomendamos o uso de bibliotecas de API criadas especificamente para proteger aplicativos móveis. O uso de APIs de um fornecedor libera o tempo dos desenvolvedores para trabalhar nos recursos e funções importantes para os clientes, enquanto a tecnologia do fornecedor protege o aplicativo. Essa única mudança nos hábitos de desenvolvimento pode ajudar bastante a criar um ambiente móvel confiável.

O que é blindagem de aplicativo móvel?

O malware móvel vem na forma de programas maliciosos e registradores de chaves, mas também pode ser encontrado oculto no código das bibliotecas e incorporado nos aplicativos. Para resolver alguns dos problemas de aplicativos não seguros, devemos, portanto, considerar a segurança do próprio código fonte do aplicativo móvel. Isso exige um novo tipo de proteção de aplicativo, algo que funcione de dentro do aplicativo. Essa tecnologia é chamada de blindagem de aplicativo.

Proteção e blindagem de aplicativos é um conjunto de tecnologias usadas para adicionar funcionalidade de segurança diretamente a aplicativos móveis para a detecção e prevenção de intrusões no nível do aplicativo. Para atingir esse objetivo, a proteção de aplicativos faz quatro coisas:

  1. Protege proativamente os aplicativos contra malware
     
  2. Controla a execução e evita ataques em tempo real
     
  3. Protege aplicativos móveis para garantir que dados e transações não sejam comprometidos
     
  4. Mantém a integridade de tempo de execução de um aplicativo móvel, mesmo que um usuário baixe inadvertidamente malware no dispositivo

A blindagem de aplicativos faz parte da solução OneSpan Mobile Security Suite, que contém várias bibliotecas que podem ser usadas para aprimorar rapidamente os recursos de um aplicativo móvel. Nosso segurança de aplicativos para dispositivos móveis APIs também fornecem um processo de implementação automatizado. Isso permite que os bancos liberem rapidamente aplicativos protegidos sem afetar o cronograma de desenvolvimento.

Se você é um profissional de mobilidade ou desenvolvedor de aplicativos, assista ao webinar para obter informações de especialistas sobre como diminuir o tempo de colocação no mercado e trazer novos níveis de proteção para seus aplicativos móveis. Mostraremos como todos os componentes principais do seu aplicativo agora podem ser protegidos em todos os níveis. A blindagem de aplicativos fornece proteção que é facilmente integrada, transparente para os usuários e projetada para manter o foco no que importa - criando novos recursos que impulsionam os negócios.

 

 

API fraude malware RASP risco Confiança
Will LaSala
Will LaSala

Will LaSala é o diretor de soluções de segurança da OneSpan.Ele ingressou na empresa em 2001 e traz mais de 25 anos de experiência em software e segurança cibernética. Desde que ingressou na OneSpan, Will esteve envolvido em todos os aspectos da implementação de produtos e direção de mercado em instituições financeiras.

Ir para o topo