A importância de testes de intrusão em apps mobile
Quando falamos sobre testes de intrusão — os famosos “pentest” —, é comum pensarmos sobretudo em ataque simulados a softwares de computer e web apps, ou seja, aplicações online acessadas via navegador. Essa técnica também faz sucesso em sites, garantindo que as suas páginas estejam devidamente protegidas contra ataques de criminosos cibernéticos. Porém, você já parou para pensar na importância de efetuar tais testes também em aplicativos para dispositivos móveis?
O pentest é uma arte crucial para a área de segurança da informação. É com tal técnica que podemos descobrir vulnerabilidades e brechas em códigos que, caso passassem despercebidas, poderiam ser futuramente exploradas por agentes maliciosos. Trata-se da prática de vislumbrar as suas criações sob a ótica de um meliante digital, tentando encontrar erros em todos os lugares possíveis para consertá-los antes que sejam abusados.
Com a Lei Geral de Proteção de Dados (LGPD) entrando em vigor, torna-se obrigatório garantir que os dados de seus usuários estejam devidamente protegidos. Um vazamento de informações poderá ser penalizado com sanções administrativas e multas pesadas. E, por mais que poucas pessoas parem para pensar nisso, um incidente desse gênero também pode resultar de uma brecha presente em um aplicativo para smartphones, o que cria a necessidade de se investir em pentest para apps mobile.
Casos famosos
Temos vários exemplos de incidentes graves que poderiam ser evitados com testes de intrusão. Um deles é brasileiro — no ano passado, um aplicativo nacional de gestão para Microempreendedores Individuais (MEI) acabou esquecendo um servidor aberto expondo dados pessoais de seus usuários. O ambiente na nuvem se comunicava diretamente com o software e continha uma série de documentos sensíveis (declarações, recibos e outros papéis burocráticos com CPF e nome completo dos empreendedores).
Já em junho deste ano, um serviço de telemedicina do Reino Unido acabou vazando gravações em vídeo de consultas de usuários com seus respectivos doutores. Uma falha na programação do aplicativo acabou causando tal situação desconfortável, que feriu o direito de privacidade de dezenas de internautas.
Este segundo caso é ainda mais emblemático por conta do momento delicado em que estamos vivendo: com a crise da COVID-19, aplicativos de natureza médica são cada vez mais comuns e populares. Isso inclui rastreadores pessoais que lhe alertam caso você tenha mantido contato com alguém que testou positivo para a doença viral. Porém, é crucial que eles sejam construídos com o máximo de segurança possível, já que manipulam dados considerados sensíveis.
Melhorias contínuas
Isto posto, realizar testes de intrusão em aplicações móveis é crucial não apenas para garantir que seu produto seja lançado de forma impecável no mercado, como também para a realização de auditorias constantes para garantir que ele esteja sempre em conformidade com normas de segurança.
O pentest pode encontrar muita coisa: erros de código, APIs mal-configuradas, comunicações desprotegidas com infraestruturas externas e assim por diante. Conforme novos recursos vão sendo criados e novas atualizações vão sendo disponibilizadas, os testes precisam ser atualizados para se adequar à realidade do app.
A importância de testes de intrusão em apps mobile
Quando falamos sobre testes de intrusão — os famosos “pentest” —, é comum pensarmos sobretudo em ataque simulados a softwares de computer e web apps, ou seja, aplicações online acessadas via navegador. Essa técnica também faz sucesso em sites, garantindo que as suas páginas estejam devidamente protegidas contra ataques de criminosos cibernéticos. Porém, você já parou para pensar na importância de efetuar tais testes também em aplicativos para dispositivos móveis?
O pentest é uma arte crucial para a área de segurança da informação. É com tal técnica que podemos descobrir vulnerabilidades e brechas em códigos que, caso passassem despercebidas, poderiam ser futuramente exploradas por agentes maliciosos. Trata-se da prática de vislumbrar as suas criações sob a ótica de um meliante digital, tentando encontrar erros em todos os lugares possíveis para consertá-los antes que sejam abusados.
Com a Lei Geral de Proteção de Dados (LGPD) entrando em vigor, torna-se obrigatório garantir que os dados de seus usuários estejam devidamente protegidos. Um vazamento de informações poderá ser penalizado com sanções administrativas e multas pesadas. E, por mais que poucas pessoas parem para pensar nisso, um incidente desse gênero também pode resultar de uma brecha presente em um aplicativo para smartphones, o que cria a necessidade de se investir em pentest para apps mobile.
Casos famosos
Temos vários exemplos de incidentes graves que poderiam ser evitados com testes de intrusão. Um deles é brasileiro — no ano passado, um aplicativo nacional de gestão para Microempreendedores Individuais (MEI) acabou esquecendo um servidor aberto expondo dados pessoais de seus usuários. O ambiente na nuvem se comunicava diretamente com o software e continha uma série de documentos sensíveis (declarações, recibos e outros papéis burocráticos com CPF e nome completo dos empreendedores).
Já em junho deste ano, um serviço de telemedicina do Reino Unido acabou vazando gravações em vídeo de consultas de usuários com seus respectivos doutores. Uma falha na programação do aplicativo acabou causando tal situação desconfortável, que feriu o direito de privacidade de dezenas de internautas.
Este segundo caso é ainda mais emblemático por conta do momento delicado em que estamos vivendo: com a crise da COVID-19, aplicativos de natureza médica são cada vez mais comuns e populares. Isso inclui rastreadores pessoais que lhe alertam caso você tenha mantido contato com alguém que testou positivo para a doença viral. Porém, é crucial que eles sejam construídos com o máximo de segurança possível, já que manipulam dados considerados sensíveis.
Melhorias contínuas
Isto posto, realizar testes de intrusão em aplicações móveis é crucial não apenas para garantir que seu produto seja lançado de forma impecável no mercado, como também para a realização de auditorias constantes para garantir que ele esteja sempre em conformidade com normas de segurança.
O pentest pode encontrar muita coisa: erros de código, APIs mal-configuradas, comunicações desprotegidas com infraestruturas externas e assim por diante. Conforme novos recursos vão sendo criados e novas atualizações vão sendo disponibilizadas, os testes precisam ser atualizados para se adequar à realidade do app.
