Close de várias pessoas segurando celulares sentadas em bancos de praça
Unsplash/robin_rednine

Apesar da aparente segurança oferecida pelas lojas de aplicativos, smartphones estão se tornando dispositivos cada vez mais visados por criminosos virtuais. O relatório Mobile Security Report, publicado pela empresa de cibersegurança Check Point em 2021, revelou que 97% das organizações pesquisadas enfrentam ameaças móveis originadas de múltiplas fontes, incluindo aplicativos, redes, dispositivos e vulnerabilidades do sistema operacional – pelo menos um funcionário dessas empresas havia instalado algum software malicioso em seu dispositivo móvel. Mas por que esses invasores estão tão interessados no que você carrega no bolso?

Fontes valiosas de dados pessoais

Nossos smartphones se tornaram mais do que simples ferramentas de comunicação. Eles funcionam como verdadeiros assistentes pessoais, portais de interação com serviços online e do mundo físico. Através deles, agendamos consultas médicas, pagamos medicamentos, armazenamos senhas e realizamos diversas outras tarefas essenciais do dia a dia.

Essa vasta gama de funcionalidades, no entanto, torna os smartphones alvos extremamente atraentes para cibercriminosos. As informações confidenciais armazenadas nesses dispositivos, como dados bancários, senhas e informações pessoais, representam um verdadeiro tesouro para quem busca lucros ilícitos.

Diversos fatores contribuem para a vulnerabilidade dos smartphones. Muitos usuários ainda acreditam que seus dispositivos estão protegidos por padrão, ignorando as medidas básicas de segurança. A falha em instalar atualizações de segurança e utilizar senhas fortes aumenta ainda mais o risco de ataques.

A fragmentação do mercado de smartphones, com diferentes sistemas operacionais e fabricantes, também dificulta a criação de soluções de segurança universais por parte de empresas do setor de cibersegurança.

Lojas de aplicativos criam falsa sensação de segurança

Muitos usuários ainda acreditam estar protegidos de ataques porque as lojas oficiais do Google e da Apple analisam os aplicativos antes da publicação. Desde que você não faça jailbreak ou root no seu dispositivo e evite lojas não autorizadas, teoricamente está seguro. Certo? Errado.

Diversos casos demonstram que malwares e aplicativos maliciosos podem driblar os filtros e chegar aos dispositivos dos usuários. Em março de 2021, o Google precisou remover aplicativos da Play Store após pesquisadores de segurança identificarem a instalação de trojans bancários nos celulares dos usuários. Já em março de 2020, bastava acessar um site de notícias com código malicioso para usuários de iOS perderem o controle de seus dispositivos, sem precisar baixar nenhum aplicativo.

A grande quantidade de aplicativos publicados nas lojas dificulta a análise individualizada de cada um. Os criminosos sabem disso e estão cada vez mais aprimorando suas técnicas para driblar os mecanismos de segurança das lojas.

Pandemia ampliou o uso de dispositivos móveis

A pandemia acelerou a adoção de dispositivos móveis no ambiente de trabalho, expandindo as possibilidades de colaboração e acesso à informação. No entanto, essa mudança também ampliou a superfície de ataque para cibercriminosos, que agora visam não apenas dados pessoais, mas também informações confidenciais de empresas.

De acordo com o Departamento de Segurança Interna dos Estados Unidos, o uso de smartphones para comunicação e colaboração no trabalho aumentou consideravelmente. Isso eleva o risco de dados sensíveis da empresa, incluindo informações de clientes, acabarem em dispositivos desprotegidos.

Dados corporativos como segredos comerciais, fórmulas proprietárias, listas de clientes e informações financeiras são extremamente valiosos para criminosos, podendo ser utilizados para chantagem, espionagem industrial ou venda no mercado negro.

Muitas empresas não investem em educar seus funcionários em cibersegurança, deixando uma grande parcela da força de trabalho ainda não familiarizados com as melhores práticas de segurança digital no ambiente de trabalho, o que os torna alvos fáceis para ataques de phishing, engenharia social e malware.

Em abril, a empresa de gerenciamento de senhas LastPass revelou que um de seus funcionários sofreu uma tentativa de golpe através o WhatsApp. Um criminoso usou deepfake da voz do CEO da empresa em uma série de mensagens na plataforma, numa tentativa frustrada de engenharia social para conseguir dados sensíveis.

Dispositivos ideais para vigilância

O celular no seu bolso não é apenas um telefone. É um pacote completo de sensores. Localização, acelerômetro, câmera e microfone transformam o aparelho em um ponto de entrada para a sua vida – e potencialmente para o ambiente de trabalho. Some isso ao propósito principal do smartphone como ferramenta de comunicação e você tem um dispositivo aparentemente projetado para descobrir tudo sobre você.

Em 2019, o WhatsApp identificou uma falha de estouro de buffer que podia infectar um dispositivo sem qualquer interação da vítima. Essa vulnerabilidade também permitia a instalação de ferramentas de vigilância para que invasores pudessem espionar conversas.

O WhatsApp não está sozinho. Falhas com grampos secretos foram encontradas no FaceTime da Apple, e a pesquisadora do Google, Natalie Silvanovich, descobriu vulnerabilidades similares em aplicativos como Signal e o próprio Google Duo. Sem mencionar os stalkerwares, criados especificamente para monitorar a atividade de alguém. Esses ataques representam um enorme risco de segurança para pessoas vulneráveis e indivíduos corporativos de alto valor.

Um dispositivo pode comprometer a rede

A mobilidade dos smartphones, característica que os torna tão úteis no dia a dia, também os transforma em vetores de infecção perfeitos para cibercriminosos. Ao se conectarem a diferentes redes, como Wi-Fi público ou corporativo, esses dispositivos podem ser utilizados para portadores de malware e introduzi-los em sistemas seguros ou para exfiltrar dados confidenciais.

Pesquisadores descobriram diversos exemplos de vulnerabilidades de segurança nessa área, como DressCode e TimpDoor, ambos capazes de infectar redes corporativas por meio de dispositivos móveis, como smartphones Android. Em um caso, uma vulnerabilidade do iOS permitiu que invasores comprometessem outros celulares dentro do alcance do WiFi.

Usuários não atualizam aplicativos e sistemas

As atualizações de software frequentemente incluem correções para vulnerabilidades de segurança que podem ser exploradas por hackers para roubar dados, instalar malware ou obter acesso não autorizado a dispositivos. Ao instalar as atualizações, você garante que seu dispositivo esteja protegido contra as últimas ameaças. No entanto, muitos usuários de dispositivos móveis não instalam as atualizações de segurança, seja porque não querem gastar a franquia de dados móveis ou porque não têm espaço de armazenamento suficiente para baixar a atualização. Os motivos são diversos.

De acordo com um estudo da operadora de telefonia mível Verizon, seis meses após a descoberta da falha de segurança do WhatsApp, em 2019, 20% dos usuários ainda não haviam aplicado a correção. Às vezes, a lentidão na atualização é culpa dos fabricantes. Alguns fabricantes de dispositivos Android demoram para lançar os patches de segurança do Google, deixando seus usuários vulneráveis por mais tempo.

Como se proteger?

Não basta confiar apenas na segurança oferecida pelas lojas de aplicativos para proteger seus dispositivos móveis e usar ferramentas como VPNs. É preciso criar hábitos que trazem mais segurança.

Homem de roupa social segurando um smartphone
Unsplash/nordwood

Para usuários individuais

  • Mantenha os softwares atualizados: Instale todas as atualizações de segurança do sistema operacional e aplicativos assim que estiverem disponíveis.
  • Tenha cautela com links e downloads: Evite clicar em links suspeitos, principalmente os recebidos por e-mail, ou baixar aplicativos de fontes desconhecidas.
  • Use senhas fortes e únicas: Crie senhas complexas e evite usá-las em várias contas. Usar gerenciadores de senhas vai te ajudar nisso.
  • Ative a autenticação em duas etapas: Sempre que possível, habilite a autenticação multifatorial para adicionar uma camada extra de segurança ao login em suas contas – e prefira usar um aplicativo, como o Authy ou o Google Authenticator, em vez de receber o código de verificação por SMS.
  • Instale um antivírus mobile: Considere utilizar um antivírus móvel para oferecer proteção adicional contra malware. As lojas do iOS e Android oferecem várias soluções gratuitas e pagas. E quando se trata de antivírus, é melhor ter do que não ter.

Para empresas

  • Implemente soluções de segurança mobile: Utilize ferramentas de gerenciamento de dispositivos móveis (MDM) e aplicativos de segurança mobile para proteger os dispositivos corporativos e os dados armazenados neles.
  • Treine seus funcionários: Capacite seus colaboradores sobre as melhores práticas de cibersegurança, incluindo como identificar e evitar ameaças. Esse tipos de treinamentos precisam ser frequentes, sempre trazendo informações e práticas atualizadas.
  • Tenha uma política de uso de dispositivos móveis: Estabeleça políticas claras sobre o uso de dispositivos móveis para trabalho, incluindo restrições sobre o que pode ser armazenado nesses dispositivos.

Ao seguir essas dicas, você pode minimizar o risco de ciberataques em seus dispositivos móveis e proteger suas informações pessoais e corporativas.