Código HTML do Conteúdo

Post: Aplicativos VPN gratuitos encontrados repletos de falhas de segurança - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <div> <div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-f4d095cf-bb9f-41f0-8033-956059c1fcae"> <p>Um estudo em larga escala de aplicativos gratuitos de rede privada virtual (VPN) descobriu s&eacute;rios riscos de privacidade e seguran&ccedil;a que afetam consumidores e empresas.</p> <p>A an&aacute;lise, conduzida pela Zimperium zLabs, analisou 800 aplicativos VPN dispon&iacute;veis para Android e iOS e descobriu que muitos n&atilde;o conseguiram fornecer a prote&ccedil;&atilde;o que os usu&aacute;rios esperam.</p> <h2>Principais pontos fracos de seguran&ccedil;a e privacidade</h2> <p>O relat&oacute;rio, <em>Um mergulho mais profundo: desvendando o cen&aacute;rio de amea&ccedil;as VPN</em>, mostrouque os aplicativos VPN gratuitos geralmente exp&otilde;em os usu&aacute;rios a mais perigos do que evitam.</p> <p>Entre os problemas descobertos estavam bibliotecas desatualizadas, pr&aacute;ticas de criptografia fracas, divulga&ccedil;&otilde;es de privacidade enganosas e solicita&ccedil;&otilde;es de permiss&atilde;o perigosas que se estendem muito al&eacute;m do que uma VPN deveria precisar.</p> <p>Os pesquisadores destacaram v&aacute;rias descobertas preocupantes:</p> <ul> <li> <p>Alguns aplicativos continuam a usar bibliotecas vulner&aacute;veis, como vers&otilde;es desatualizadas do OpenSSL, incluindo aquelas ainda suscet&iacute;veis ao infame <a href="https://www.infosecurity-magazine.com/opinions/learning-heartbleed-quantum-proof/" target="_blank">Bug de sangramento card&iacute;aco</a></p> </li> <li> <p>Aproximadamente 1% dos aplicativos permitiam ataques Man-in-the-Middle (MitM), que podem permitir que os invasores interceptem e descriptografem o tr&aacute;fego</p> </li> <li> <p>Cerca de 25% dos aplicativos iOS n&atilde;o forneceram um manifesto de privacidade v&aacute;lido, um requisito fundamental sob as regras da Apple</p> </li> <li> <p>Muitos aplicativos solicitaram permiss&otilde;es excessivas, incluindo acesso a microfones, dados de localiza&ccedil;&atilde;o ou logs do sistema</p> </li> </ul> <p><a href="https://www.infosecurity-magazine.com/news/92-mobile-apps-insecure/" target="_blank"><em>Leia mais sobre riscos de seguran&ccedil;a m&oacute;vel: 92% dos aplicativos m&oacute;veis usam m&eacute;todos criptogr&aacute;ficos inseguros</em></a></p> <h2>BYOD e trabalho remoto aumentam as apostas</h2> <p>O estudo tamb&eacute;m alertou que as organiza&ccedil;&otilde;es com pol&iacute;ticas de BYOD (traga seu pr&oacute;prio dispositivo) s&atilde;o especialmente vulner&aacute;veis. Mesmo aplicativos VPN amplamente baixados podem se tornar elos fracos nas defesas corporativas, potencialmente expondo dados corporativos confidenciais.</p> <p>&ldquo;&Agrave; medida que mais funcion&aacute;rios trabalham remotamente em escrit&oacute;rios dom&eacute;sticos ou enquanto viajam, eles n&atilde;o est&atilde;o apenas usando telefones pessoais, mas tamb&eacute;m laptops pessoais, muitas vezes em redes n&atilde;o seguras&rdquo;, disse David Matalon, CEO da Venn.</p> <p>&ldquo;O per&iacute;metro tradicional se foi, e a realidade de BYOD (traga seu pr&oacute;prio dispositivo) para trabalhadores remotos requer uma mudan&ccedil;a de estrat&eacute;gia: de proteger o dispositivo para proteger o trabalho em si.&rdquo;</p> <p>Matalon acrescentou: &ldquo;As VPNs continuam a desempenhar um papel vital na prote&ccedil;&atilde;o e anonimiza&ccedil;&atilde;o das conex&otilde;es de rede, no entanto, podem fornecer uma falsa sensa&ccedil;&atilde;o de seguran&ccedil;a e privacidade do usu&aacute;rio&rdquo;.</p> <p>Ele enfatizou que os aplicativos VPN de n&iacute;vel de consumidor e as extens&otilde;es de navegador geralmente carecem de auditorias, deixando os usu&aacute;rios vulner&aacute;veis a criptografia fraca e as empresas em risco de perda de dados.</p> <h2>Uma mudan&ccedil;a para modelos de seguran&ccedil;a mais fortes</h2> <p>No iOS, mais de 6% dos aplicativos foram encontrados solicitando direitos privados &ndash; permiss&otilde;es que podem permitir acesso profundo ao sistema operacional.</p> <p>Embora n&atilde;o esteja claro se esses pedidos foram atendidos, as descobertas sugerem baixa ades&atilde;o &agrave;s diretrizes de seguran&ccedil;a da Apple.</p> <p>&ldquo;As organiza&ccedil;&otilde;es precisam de uma resposta em v&aacute;rias camadas&rdquo;, disse Brandon Tarbet, diretor de TI e seguran&ccedil;a da Menlo Security.</p> <p>&ldquo;A visibilidade e o gerenciamento de endpoints s&atilde;o apostas de mesa [&hellip;] O que est&aacute; rapidamente se tornando um requisito &eacute; a necessidade de seguran&ccedil;a de dados em n&iacute;vel de conte&uacute;do da web.&rdquo;</p> <p>James Maude, CTO de campo da BeyondTrust, apontou que &ldquo;as tecnologias VPN h&aacute; muito apresentam desafios de seguran&ccedil;a para as organiza&ccedil;&otilde;es em uma era de ataques e comprometimentos de identidade&rdquo;.</p> <p>Ele enfatizou que as abordagens de confian&ccedil;a zero s&atilde;o vitais, pois o acesso VPN comprometido pode expandir o alcance de um invasor pela rede.</p> <p>Vishrut Iyengar, gerente s&ecirc;nior de solu&ccedil;&otilde;es da Black Duck, acrescentou que os dispositivos m&oacute;veis agora s&atilde;o o principal alvo.</p> <p>&ldquo;Hoje, estamos enfrentando uma realidade preocupante de que muitos aplicativos m&oacute;veis corporativos ainda carecem de prote&ccedil;&otilde;es b&aacute;sicas, como ofusca&ccedil;&atilde;o de c&oacute;digo, armazenamento seguro e bibliotecas de terceiros atualizadas&rdquo;, explicou.</p> <p>Finalmente <a href="https://zimperium.com/blog/insecure-mobile-vpns-the-hidden-danger" target="_blank">O estudo</a> conclui que muitas VPNs gratuitas oferecem pouca seguran&ccedil;a real. Em vez disso, eles podem servir como ve&iacute;culos para vigil&acirc;ncia, roubo de credenciais e at&eacute; mesmo comprometimento total do dispositivo.</p> </div> </div> </div></div>