Os aplicativos de pagamento móvel tornaram-se vitais para transações financeiras perfeitas, revolucionando o gerenciamento de dinheiro. Até 2025, os especialistas prevêem mais de 4,8 mil milhões de carteiras digitais e valores de transação superiores a 16 biliões de dólares até 2028. No entanto, a segurança é uma preocupação crescente face ao aumento das ameaças cibernéticas, tornando a proteção de dados e transações uma prioridade para os prestadores de serviços. Promon, a empresa norueguesa de segurança de aplicativos, analisou 73 dos aplicativos de pagamento mais usados no mundo para avaliar seu nível de segurança e entender como eles lidam com um ataque comum de leitor de tela do tipo malware. Vamos mergulhar.
A maioria dos aplicativos de pagamento não são seguros
Para verificar a segurança dos principais aplicativos de pagamento, a Promon utilizou um leitor de tela semelhante aos usados nos principais aplicativos de serviços financeiros. O seu objetivo era verificar se conseguia recuperar informações confidenciais de 73 das aplicações de pagamento mais utilizadas no mundo, avaliando assim as suas medidas de segurança e a sua capacidade de impedir ataques comuns de exfiltração do tipo malware.
Usando esta metodologia, o grupo descobriu que 77% dos aplicativos de pagamento testados não tinham proteção suficiente para leitores de tela.
O experimento também descobriu que em seis aplicativos (8,2%), o leitor de tela registrou o nome de usuário durante o ataque simulado de exfiltração de dados. No entanto, a senha permaneceu segura nesses casos, destacando uma vulnerabilidade parcial.
A maioria dos aplicativos financeiros não são seguros
Fonte: Promon
Apenas três aplicativos (4,1%) demonstraram mecanismos de defesa robustos contra as tentativas do leitor de tela de acessar e registrar dados do usuário. Esses aplicativos frustraram efetivamente qualquer esforço para registrar o nome de usuário e a senha. Curiosamente, oito dos aplicativos (10,9%) não possuíam uma página de login convencional. Esse atributo exclusivo os tornou imunes a tentativas de exfiltração de dados por meio do leitor de tela. Embora isto possa ser visto como uma vantagem de segurança, também levanta considerações relativamente à conveniência e funcionalidade do utilizador.
– Anúncio –
O que os desenvolvedores podem fazer para reforçar a segurança
“Isso é no mínimo preocupante”, afirma Benjamin Adolphi, chefe de pesquisa de segurança da Promon. “Esta é uma ferramenta extremamente básica usada regularmente junto com ataques comuns de engenharia social. O malware que consegue obter acesso à tela de um dispositivo e ao seu conteúdo dessa forma pode roubar informações confidenciais, como senhas e números de cartão de crédito, mas também interceptar códigos 2FA e dar aos hackers acesso a outras contas. Em casos mais graves, os malfeitores podem até assumir o controle do dispositivo e contornar outras medidas integrais de segurança. Você gostaria de pensar que os desenvolvedores desses aplicativos levariam a sério a segurança de seus produtos, mas aparentemente proteger as informações altamente confidenciais dos usuários é apenas uma reflexão tardia para a grande maioria.”
Os desenvolvedores podem aumentar a segurança contra leitores de tela maliciosos usando a tecnologia App Shielding. Eles também podem tomar medidas imediatas, como detectar leitores de tela ativos em seus aplicativos. No entanto, essas abordagens têm desvantagens. As mensagens de aviso podem ser contornadas por malware com recursos de acessibilidade, ignorar os leitores de tela pode expor os usuários a riscos e desligar o aplicativo pode prejudicar a acessibilidade e potencialmente levar a problemas legais.
Para enfrentar esses desafios, os desenvolvedores podem identificar aplicativos de acessibilidade conhecidos e permitir que eles operem sem desligar o aplicativo. Para os menos conhecidos, é necessária manutenção contínua para reconhecer ferramentas de acessibilidade legítimas.
O Android 14 promete novos recursos de segurança para evitar abusos no serviço de acessibilidade, permitindo que os desenvolvedores restrinjam as interações com visualizações específicas a ferramentas de acessibilidade declaradas, como o TalkBack. Embora este seja um desenvolvimento positivo, pode levar algum tempo para ser implementado. É crucial combinar recursos do sistema operacional com defesas robustas no nível do aplicativo para proteção abrangente do usuário.
Principais conclusões
As aplicações de pagamento móvel são essenciais para transações financeiras, com previsões de 4,8 mil milhões de carteiras digitais e 16 biliões de dólares em transações até 2028. A segurança é uma preocupação crescente devido ao aumento das ameaças cibernéticas. A análise da Promon dos 73 principais aplicativos de pagamento revelou que 77% não possuíam proteção adequada contra leitores de tela. Os desenvolvedores podem aumentar a segurança por meio do App Shielding e da detecção de leitores de tela. Equilibrar as medidas de segurança é crucial para proteger os dados confidenciais dos usuários diante das ameaças em evolução
source – www.businessofapps.com
