Código HTML do Conteúdo

Post: 1 em cada 3 aplicativos Android vazam dados confidenciais - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <div> <div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-dce7f190-eb69-46b3-9f80-5b3d93434df2"> <p>Uma parcela significativa dos aplicativos m&oacute;veis est&aacute; expondo informa&ccedil;&otilde;es confidenciais por meio de APIs inseguras, deixando usu&aacute;rios e empresas vulner&aacute;veis a ataques.</p> <p>O <em>Relat&oacute;rio Global de Amea&ccedil;as M&oacute;veis da Zimperium 2025, </em>publicado hoje, revelou que umem cada tr&ecirc;sAplicativos Android e mais da metade dos aplicativos iOS vazam dados que podem ser explorados.</p> <p>Quase metade de todos os aplicativos ainda cont&eacute;m segredos codificados, como chaves de API, que permitem que os invasores fa&ccedil;am engenharia reversa e os usem indevidamente depois que os aplicativos s&atilde;o publicados.</p> <h2>Aplicativos m&oacute;veis como uma superf&iacute;cie de ataque crescente</h2> <p>O relat&oacute;rio descobriu que as fraquezas do lado do cliente est&atilde;o alimentando novos caminhos para o abuso. Os invasores podem adulterar aplicativos, interceptar tr&aacute;fego e explorar dispositivos comprometidos para contornar as defesas.</p> <p>Outras descobertas importantes incluem:</p> <ul> <li> <p>1 em cada 400 dispositivos Android est&aacute; enraizado e 1 em 2500 dispositivos iOS est&aacute; desbloqueado</p> </li> <li> <p>3 em cada 1000 dispositivos m&oacute;veis j&aacute; est&atilde;o comprometidos</p> </li> <li> <p>1 em cada 5 dispositivos Android encontra malware na natureza</p> </li> <li> <p>Quase 1 em cada 3 aplicativos financeiros Android e 1 em cada 5 aplicativos de viagem iOS permanecem abertos a ataques man-in-the-middle, apesar da fixa&ccedil;&atilde;o SSL</p> </li> </ul> <p>&ldquo;Os aplicativos m&oacute;veis n&atilde;o consomem apenas APIs, eles as exp&otilde;em&rdquo;, afirmou o relat&oacute;rio.</p> <p>&ldquo;Sem visibilidade do aplicativo e do dispositivo que faz a chamada, os invasores podem [&hellip;] Mapear e manipular o comportamento da API modificando o c&oacute;digo do aplicativo [&hellip;] Extraia segredos e tokens fazendo engenharia reversa do aplicativo [and] explorar controles no n&iacute;vel do dispositivo para simular o uso real.&rdquo;</p> <p><a href="https://www.infosecurity-magazine.com/news/99-organizations-report-api/" target="_blank"><em>Leia mais sobre os riscos de seguran&ccedil;a da API: 99% das organiza&ccedil;&otilde;es relatam problemas de seguran&ccedil;a relacionados &agrave; API</em></a></p> <h2>Defesas de per&iacute;metro n&atilde;o s&atilde;o suficientes</h2> <p>Ferramentas tradicionais, como firewalls, gateways de API e firewalls de aplicativos Web, podem bloquear determinadas amea&ccedil;as no per&iacute;metro, mas n&atilde;o podem determinar se o tr&aacute;fego &eacute; originado de um aplicativo genu&iacute;no ou de um clone adulterado. Esse ponto cego permite que os invasores falsifiquem identificadores de identidade, localiza&ccedil;&atilde;o e dispositivo, fazendo com que as chamadas de API maliciosas pare&ccedil;am leg&iacute;timas.</p> <p>&ldquo;Do ponto de vista da seguran&ccedil;a, precisamos garantir que os dispositivos m&oacute;veis tenham prote&ccedil;&otilde;es b&aacute;sicas, n&atilde;o apenas para a organiza&ccedil;&atilde;o, mas tamb&eacute;m para os pr&oacute;prios usu&aacute;rios&rdquo;, disse Randolph Barr, CISO da Cequence Security.</p> <p>&ldquo;No m&iacute;nimo, isso significa garantir que um bloqueio de tela esteja ativado, as atualiza&ccedil;&otilde;es sejam aplicadas em tempo h&aacute;bil e que os dispositivos n&atilde;o sejam enraizados ou desbloqueados.&rdquo;</p> <h2>Fechando as lacunas</h2> <p>O relat&oacute;rio da Zimperium enfatizou que a prote&ccedil;&atilde;o das APIs deve come&ccedil;ar dentro do pr&oacute;prio aplicativo m&oacute;vel. Salientou duas abordagens essenciais:</p> <ul> <li> <p>Um<strong>Endurecimento PI</strong>: Protegendo endpoints, tokens e l&oacute;gica de neg&oacute;cios com ofusca&ccedil;&atilde;o, armazenamento seguro e defesas de tempo de execu&ccedil;&atilde;o</p> </li> <li> <p><strong>Atestado de aplicativo</strong>: Validar se cada chamada de API vem de um aplicativo genu&iacute;no e n&atilde;o adulterado em execu&ccedil;&atilde;o em um ambiente confi&aacute;vel</p> </li> </ul> <p>&ldquo;Hoje, estamos enfrentando uma realidade preocupante: muitos aplicativos m&oacute;veis corporativos ainda carecem de prote&ccedil;&otilde;es b&aacute;sicas, como ofusca&ccedil;&atilde;o de c&oacute;digo, armazenamento seguro e bibliotecas de terceiros atualizadas&rdquo;, explicou Vishrut Iyengar, gerente s&ecirc;nior de solu&ccedil;&otilde;es da Black Duck.</p> <p>&ldquo;Essas fraquezas permanecem explor&aacute;veis mesmo em ambientes corporativos gerenciados.&rdquo;</p> <p>David Matalon, CEO da Venn, ecoou as opini&otilde;es de Iyengar: &ldquo;O per&iacute;metro tradicional se foi, e a realidade do Bring Your-Own-Device para trabalhadores remotos requer uma mudan&ccedil;a de estrat&eacute;gia: de proteger o dispositivo para proteger o trabalho em si&rdquo;.</p> </div> </div> </div></div>