2014 foi um ano e tanto para os fabricantes de smartphones. Ao longo desse período, foram vendidos 1,2 bilhão de aparelhos, um significativo aumento de 23% em comparação a 2013. Na medida em que aumenta a popularização dos dispositivos móveis, como smartphones e tablets, cresce também a oferta de aplicativos. Atualmente, estima-se que haja cerca de 2,8 milhões de softwares disponíveis pelas principais lojas online: Google Play, App Store e Windows Phone Store. Em resumo: o uso dos app móveis já está difundido no cotidiano das pessoas, seja para conversar, trocar documentos, pagar contas ou apenas para entretenimento.
Sabe-se pouco sobre os cuidados necessários para garantir segurança em aplicativos móveis, mas os usuários devem estar atentos, pois soluções inseguras expõem dados sensíveis dos usuários, como localização, contatos e conteúdo de mensagens. Muitas pessoas abrem mão da privacidade de suas informações pessoais em troca de entretenimento e atraídas por sistemas "grátis", ignorando os riscos aos quais estão se submetendo. Até mesmo aplicações populares podem apresentar ameaças, geralmente escondidas nas permissões aceitas ao baixar um aplicativo.
Com a consolidação do conceito de BYOD (Bring Your Own Device), sigla que se refere ao uso de dispositivos pessoais no ambiente de trabalho, tornou-se mais comum também o uso de aplicações no ambiente organizacional. Se para o usuário comum as ameaças online que chegam por meio de apps móveis podem ser perigosas, nas empresas os danos podem ser ainda mais graves. Ao conectar dispositivos pessoais infectados nas redes corporativas, a ameaça pode se disseminar por toda a rede.
Diante do risco para a segurança de dados e informações nas organizações, é fundamental conhecer formas de prevenção. O primeiro passo é considerar a origem da aplicação e optar sempre pela loja oficial. Por mais interessante que pareça, não é recomendável realizar jailbreak – burlar as restrições impostas por uma empresa em seus dispositivos, adicionando funcionalidades não oficiais a eles. O usuário também deve manter o dispositivo atualizado e manter um anti-malware específico para a plataforma.
Já as organizações podem e devem pensar em políticas de BYOD e implantar, preferencialmente, uma rede separada da rede corporativa para os acessos de dispositivos móveis. É importante que adotem metodologias e tecnologias específicas, que possibilitem testes de segurança e controle de risco. De modo geral, as empresas estão mais preocupadas com a funcionalidade dos aplicativos do que com a segurança das soluções. Por isso, os testes de segurança ainda são pouco explorados, especialmente a metodologia de análise por comportamento, que ainda está emergindo no segmento. Nesse contexto, monitorar apenas a interface do usuário não é o suficiente; é necessário testar e homologar a segurança dos aplicativos a serem utilizados no ambiente corporativo antes mesmo de permitir a sua instalação.
Os esforços das empresas nos testes de segurança devem ser focados nos aplicativos corporativos que serão utilizados pelos colaboradores. Deve-se baixar e utilizar apenas os softwares que passarem nos testes realizados por soluções de segurança. Um erro de configuração muito comum dos usuários no ambiente organizacional é utilizar um serviço na nuvem pessoal para transmitir dados da empresa. Tais aplicativos podem gerar vazamentos e prejudicar consideravelmente a organização e até mesmo seus clientes. Desse modo, é fundamental possuir uma política de BYOD isolando tráfego pessoal versus corporativo e, dentro dela, contar com medidas específicas para segurança de aplicações móveis.