Na conferência para desenvolvedores Google I/O deste ano, a gigante de tecnologia compartilhou sua visão sobre um mundo conectado, onde relógios inteligentes, smartphones, carros, laptops, aparelhos de televisão e termostatos interagem diretamente uns com os outros. O ponto central desta visão era um dos principais temas da conferência, a ideia do Android em todos os lugares e em todos os aparelhos. No entanto, ainda que seja tudo muito empolgante e cheio de possibilidades, esta nova onda de aparelhos e capacidades estimulará uma corrida para desenvolver aplicativos mais cientes do contexto, capacitados por voz, no sistema operacional (OS) Android – que, como plataforma, tem sido um alvo popular para cibercriminosos.
Android L
A próxima versão do Google para Android a ser lançada (Android L) traz muitos novos recursos e capacidades. Há também algumas atualizações de segurança dignas de nota. Representantes do Google ent4fatizaram que levam a segurança a sério e agora oferecem atualizações que serão lançadas a cada seis semanas para o OS Android através do serviço Google Play. Isso significa que problemas como a recente vulnerabilidade OpenSSL podem ser sanados na maioria dos aparelhos rapidamente, reduzindo a janela de ataque.
Um dos recursos de segurança mais notáveis para usuários cotidianos é o recurso “desbloqueio pessoal” (personal unlock) para smartphones Android L. Este recurso permite que o usuário defina um ambiente de confiança, onde não é exigida senha para desbloquear o aparelho Android. O ambiente de confiança pode ser um local definido baseado em coordenadas de GPS ou a presença de um aparelho Bluetooth de confiança, como um smartwatch. Este prático recurso deve incentivar mais usuários a ativar funções de segurança em seus aparelhos. A necessidade por mais precauções é grande e foi destacada em nosso Norton Report, que revelou que 50% dos usuários atuais não utilizam nem mesmo as defesas básicas, como senhas, em seus aparelhos.
Sim, um ladrão pode simplesmente roubar seu smartwatch e seu smartphone ou desbloquear seu aparelho enquanto ainda estiver por perto. Esperamos que o recurso de desbloqueio pessoal não busque por um nome de aparelho ou de Wi-Fi, porque estes podem ser facilmente forjados. Da mesma forma, é possível falsificar a localização do GPS, mas isso pode dar mais trabalho do que os atacantes estejam dispostos a ter para simplesmente desbloquear um telefone roubado. E, mesmo que seu aparelho acabe sendo roubado, o Google fortaleceu o recurso “botão da morte” (kill switch) do Android, conforme sugestão da iniciativa Secure Our Smartphone (Protegendo nosso Smartphone), para defender melhor os dados nesses aparelhos, evitar que caiam nas mãos erradas e para evitar que o aparelho seja restaurado aos ajustes de fábrica e revendido.
Android for Work
Além de tornar mais fácil para os usuários controlarem seus ajustes de privacidade, agrupando-os em um local central em Controle Universal de Dados, o Google também anunciou o Android for Work (Android para o Trabalho), que trará maior segurança para os usuários corporativos de smartphones Android. Para isso, a plataforma de segurança Knox da Samsung será distribuída para todos os aparelhos Android, permitindo separação de dados, o que traz ao aparelho containers criptografados com uma autenticação forte, além de permitir políticas de container. Os administradores podem implementar as diretrizes da empresa como um todo e controlar o fluxo de informações entre o container e o restante do aparelho.
Aparelhos IoT
Com o maior grau de automação que vem com os wearables (aparelhos de vestir, em tradução livre), há também um risco maior de que o aparelho possa ser enganado para efetuar uma ação não desejada no pano de fundo. Isso foi demonstrado no ano passado pela vulnerabilidade de QR code e, mais recentemente, por um aparentemente inofensivo comercial do Xbox One que demonstrava os recursos de controle por voz do console e conseguia ligar console das pessoas (e, por sorte, só fez isso).
No entanto, a aglutinação dos diferentes aparelhos na Internet das Coisas (IoT) é uma tendência definitiva. Assim, não é surpresa que a IoT esteja atraindo o interesse de cibercriminosos que estão sempre em busca de novas formas de ganhar dinheiro. Atualmente, a maioria dos ataques são provas de conceito inofensivas, que mostram o que poderia ser possível. Porém, novos aplicativos e recursos aumentarão o risco de vazamento de dados, malware, acesso não autorizado e para aparelhos perdidos.
Não há solução fácil para este dilema. Por um lado, os usuários querem pedir uma pizza em vinte segundos e pagar por ela imediatamente com um clique em seus relógios. Por outro lado, as empresas devem garantir que um app malicioso não possa enganar o usuário e levá-lo a pagar por algo que não quer usando mensagens pop-up falsas neste mesmo aparelho.
APIs de Gmail e Android Fit
Não seria uma má ideia ficar de olho em alguns outros recursos que também foram lançados. Por exemplo, os recém-lançados APIs de Gmail, que permitem que apps autenticados executem ações em sua conta de e-mail, tem o potencial para ser mal utilizados por golpistas através de ações de engenharia social.
Vale mencionar também o Android Fit, a abordagem do Google para o mercado do quantified-self. Semelhante ao HealthKit da Apple, o Android Fit do Google oferecerá um local central para que os aparelhos e aplicativos de rastreamento de métricas da vida possam armazenar seus dados. Esta é uma inclusão bem vinda, porque alguns dos apps de eu quantificado não têm foco em segurança e os usuários devem poder verificar quais serviços podem acessar seus dados agregados.
Como continuar protegido
Nós recomendamos aos usuários de quaisquer aparelhos novos, inclusive smart watches, smartphones, TVs e carros, que:
- Certifiquem-se de que o software está atualizado e atualizem quaisquer senhas ou recursos de autenticação, alterando os ajustes de fábrica.
- Verifiquem os ajustes de privacidade e entendam o que acontece com seus dados.
- Verifiquem, antes de instalar novos aplicativos, que estes são baixados a partir de uma fonte segura e que as permissões solicitadas fazem sentido.