Parece haver infinitas maneiras pelas quais o seu dispositivo móvel pode ser atacado. Com imagens mentais assustadoras de hackers desonestos a lascarem a segurança do nosso dispositivo móvel, é fácil esquecer que a forma mais comum de um dispositivo ser comprometido é através de uma acção descuidada por parte do utilizador final. Uma dessas ações é o carregamento lateral de aplicativos de risco para o dispositivo.

O que é o carregamento lateral?

O carregamento lateral, no contexto da segurança móvel, é o processo de adicionar um aplicativo que não tenha sido aprovado pelo desenvolvedor do sistema operacional do dispositivo. Todas as aplicações na App Store ou na Google Play Store foram examinadas pelas respectivas organizações. Embora tenha havido casos de aplicativos maliciosos encontrados tanto nas lojas App e Play (mais frequentemente na Loja de Aplicativos do Google Play), as lojas de aplicativos oficiais atuam como um filtro adicional, impedindo que a grande maioria dos aplicativos maliciosos chegue ao usuário final.
Sideloading permite o acesso a aplicativos que não estão disponíveis nas lojas de aplicativos oficiais por uma série de motivos. Aplicativos de outras fontes podem não ser rastreados para segurança e podem ter intenções maliciosas, mas muitas vezes os usuários os instalam em seus dispositivos, abrindo-se para ameaças. No caso de dispositivos Apple, isto frequentemente (embora nem sempre) requer que o dispositivo seja jailbreken.

Qual é a diferença entre jailbreaking, root e sideloading?

O termo ‘jailbreaking’ pode se aplicar a qualquer tipo de dispositivo móvel, mas geralmente se refere a dispositivos Apple. A Apple mantém um alto nível de segurança dos dispositivos, restringindo todos os dispositivos para permitir apenas aplicativos baixados de sua App Store oficial. A ‘jailbreaking’ é um método para contornar isto, aumentando as permissões do utilizador no dispositivo. Os usuários ainda podem acessar todas as funções normais do dispositivo, mas são capazes de instalar aplicativos de outras fontes além da App Store.
Google não bloqueia o SO Android tanto quanto a Apple – enquanto a configuração padrão não permite aplicativos com carregamento lateral, é possível alterar uma configuração para permitir aplicativos de fontes de terceiros. Nossa pesquisa mostra que cerca de 20% dos dispositivos têm essa configuração ativada. Esse método parece menos arriscado do que a quebra de prisão, mas abre o dispositivo para ameaças exatamente da mesma forma.
Rootar é muitas vezes confuso como a versão Android da quebra de prisão. Enquanto o enraizamento é semelhante ao jailbreaking no sentido de que ambos são escalada de privilégios, o enraizamento fornece muito mais liberdade para os usuários do Android. Chamado de root porque fornece acesso root ao dispositivo, rootar permite privilégios muito maiores, superusuários, para que os usuários possam fazer mudanças drásticas – até e incluindo mudar o sistema operacional do dispositivo.

Que aplicativos meus funcionários estão carregando lateralmente?

Nossa pesquisa mostra que há uma grande variedade de aplicativos carregados lateralmente em dispositivos corporativos, mas fomos capazes de classificar os cinco aplicativos mais comumente carregados lateralmente:

Aplicações de negócios personalizadas

Aplicações personalizadas oferecem benefícios significativos para as organizações, permitindo que a TI adapte os aplicativos para atender aos casos específicos de uso de vários departamentos do negócio. Por exemplo, um de nossos clientes construiu e implantou um aplicativo personalizado para que a equipe de atendimento pudesse atualizar registros de pacientes e pedir prescrições a partir da cabeceira do paciente, minimizando a administração e aumentando o tempo gasto com os pacientes.
Para implantar aplicativos personalizados, as empresas geralmente precisam contornar as lojas de aplicativos oficiais, já que não querem tornar seus aplicativos amplamente disponíveis ao público devido à informação sensível que carregam. Por exemplo, um aplicativo de RH do diretório de funcionários contém informações pessoais sobre o pessoal, e os aplicativos internos de notícias da empresa contêm informações corporativas sensíveis. É compreensível que a TI queira encontrar outra forma de disponibilizar esses aplicativos aos seus usuários sem adicionar complexidade, adicionando autorização de usuário.

Qual é o risco?

Aplicações de carregamento lateral é normalmente uma prática perigosa, mas neste caso, é uma prática comum e o método preferido de distribuição. Uma organização pode garantir que o aplicativo em questão foi projetado sem intenção maliciosa e pode estar de acordo com os níveis de segurança desejados. Se a organização quebrar os dispositivos para permitir o aplicativo, aplicativos arriscados podem ser baixados e instalados, portanto, outros métodos são mais prováveis de serem usados. Ou pré-instalando o perfil do certificado que a aplicação personalizada é assinada, ou usando uma ferramenta de Gestão da Mobilidade Empresarial (EMM).
As empresas que têm aplicações personalizadas muitas vezes terceirizam o desenvolvimento para terceiros. O problema com esses desenvolvedores terceirizados é que eles não fazem um fluxo de trabalho robusto de verificação para detectar problemas de desempenho e de segurança, como conexões de rede inseguras, por exemplo. Wandera descobriu recentemente um aplicativo de treinamento de RH personalizado da empresa que não protege os nomes de usuário e senhas dos usuários que fazem login, que eram as mesmas credenciais que eles usavam para acessar suas contas de e-mail corporativas.
Mais uma coisa a considerar – esses aplicativos personalizados serão otimizados para o sistema operacional existente, portanto, quando a Apple ou o Android lançam uma atualização do sistema operacional, algumas das funcionalidades do aplicativo podem quebrar. É por isso que usar um serviço para controlar a implementação de atualizações de sistema operacional é útil para garantir que aplicativos personalizados continuem funcionando de forma otimizada.
Risco – 1/5

Lojas de aplicativos de terceiros

A Apple App Store para iOS e a Google Play Store para Android são os dois maiores canais de distribuição para aplicativos móveis. Mas há um grande mundo ruim de lojas de aplicativos de terceiros e aplicativos que existem fora desses dois grandes players. Na verdade, existem mais de 300 lojas de aplicativos no mundo todo e esse número continua a crescer.
De acordo com nossos dados, um dos aplicativos de terceiros mais populares para dispositivos iOS corporativos é o Tutuapp, originalmente uma loja de aplicativos chinesa que lançou uma versão em inglês em 2017. Tutuapp é conhecido por hospedar versões modificadas ou hackeadas de jogos populares, incluindo uma versão do Pokemon Go em que o jogador não precisa se mover para encontrar e pegar o Pokemon. Os aplicativos hospedados no Tutuapp não são pesados da mesma forma que os do Google Play e da App Store.
No Android, a instalação de lojas de aplicativos de terceiros não é tão comum porque um usuário pode simplesmente visitar o site do aplicativo e baixá-lo diretamente do navegador, desde que a configuração tenha sido ativada para permitir downloads de fontes desconhecidas.
Amazon, estas são as duas lojas de aplicativos de terceiros mais populares a partir das quais os usuários do Android sideload:

1. Aptoide
2. Amazon Appstore

Amazon aprova todos os aplicativos antes de publicá-los na loja, da mesma forma que a Apple – sugerindo que a própria Amazon Appstore é relativamente segura. O Aptoide, por outro lado, é menos confiável.
Aptoide tem uma função de varredura de vírus (significada por um símbolo de escudo pelo ícone do aplicativo), mas ainda assim publicará aplicativos que não foram varridos, abrindo os clientes para potenciais ameaças. Embora não haja indicação de que o próprio aplicativo Aptoide contenha qualquer malware, os aplicativos que ele oferece podem representar uma ameaça.

Qual é o risco?

Embora a maioria dos aplicativos de terceiros armazenem eles mesmos aplicativos livres de malware e relativamente seguros, os comportamentos que eles permitem são muito mais uma ameaça. Pode-se presumir com segurança que qualquer pessoa que esteja a carregar uma loja de aplicativos de terceiros está a planear instalar um ou mais aplicativos hospedados por eles. Como a maioria dessas lojas de aplicativos não impõe um rigoroso controle de segurança dos aplicativos que oferecem, isso pode tornar qualquer dispositivo no qual eles tenham sido instalados particularmente vulnerável a ameaças.
Risco – 5/5

Jogos

Aplicações customizadas e lojas de aplicativos de terceiros, o motivo mais comum para o sideloading de aplicativos é a instalação de jogos que não estão disponíveis nas lojas de aplicativos oficiais. De acordo com nossos dados, 10% dos funcionários jogam diariamente em seus dispositivos corporativos.
O exemplo mais notável de um jogo popular que precisa ser carregado lateralmente é o Fortnite para Android. Quando a Epic Games tomou a decisão de contornar a loja do Google Play e oferecer o jogo altamente esperado somente através de seu próprio site, nós (e outros especialistas em segurança) fomos rápidos em comunicar os riscos, que incluem a normalização da configuração de risco, a distribuição de jogos falsificados Fortnite e ataques de phishing baseados em Fortnite.
A pouco tempo depois, a equipe de segurança do Google descobriu uma vulnerabilidade no Instalador Fortnite. Isto poderia ser explorado por outros aplicativos no dispositivo para seqüestrar o pedido de download da Fortnite da Epic Games para baixar secretamente qualquer outra coisa, incluindo malware ou spyware. Para o crédito da Epic, a vulnerabilidade foi corrigida rapidamente.

Qual é o risco?

Os empregadores podem achar que instalar jogos em dispositivos corporativos é prejudicial o suficiente para a produtividade. No entanto, a ameaça potencial que vem com os jogos com carga lateral é substancial. Sem a camada extra de segurança da Apple ou do Google, vulnerabilidades e conteúdo malicioso podem passar despercebidos, expondo o dispositivo a uma série de ameaças. Mesmo uma grande editora de jogos, Epic Games, foi incapaz de garantir a segurança de seu principal lançamento móvel – e com ‘lançamentos iniciais’, versões modificadas e falsos ‘guias’, os jogos são um alvo maduro para aqueles com intenções maliciosas.
Risco – 4/5

“Livre” espectadores de filmes

As velocidades de transferência de dados e cobertura de internet móvel aumentaram nos últimos anos, assim como o uso de dispositivos móveis para streaming de filmes e TV. É comum que os usuários móveis transmitam filmes inteiramente em seus dispositivos e, portanto, o número de aplicativos para fornecer conteúdo tem aumentado.
Ao lado de serviços legítimos, como Netflix ou Amazon Prime Video (um aplicativo que costumava ser carregado regularmente de lado, até ser adicionado à Loja de Reprodução do Google em 2017), vários aplicativos que oferecem visualização gratuita de filmes são carregados regularmente de lado para dispositivos corporativos. As mais populares para iOS são MovieBox e CotoMovies (anteriormente Bobby Movie ou Bobby HD), com 50% das empresas tendo pelo menos uma das duas aplicações instaladas. CotoMovies é um exemplo de um aplicativo sideloaded que não requer que o iPhone seja preso – mas o usuário precisa alterar as configurações de perfil no dispositivo, o que pode torná-lo particularmente vulnerável a ataques.
Felizmente, há uma série de problemas com esses aplicativos – o mais importante entre eles é que esses aplicativos estão pirando ilegalmente os filmes que eles anunciam. Os aplicativos aprovados pela Apple ou Google não permitem qualquer atividade ilegal, mas com aplicativos com carga lateral não há garantia.
O streaming de vídeo é particularmente intenso em termos de dados, o que pode levar a possíveis taxas de excesso de dados se não for monitorado. Isto é um perigo com todas as aplicações de streaming, incluindo as legítimas. No entanto, algumas aplicações de streaming ilícito podem trazer outro problema de dados. Moviebox é um serviço peer-to-peer, o que significa que enquanto um usuário estiver baixando um arquivo, ele também estará carregando-o – provavelmente sem saber.

Qual é o risco?

Os espectadores de filmes livres têm uma série de problemas à primeira vista. Eles são definitivamente arriscados do ponto de vista da segurança móvel, mas também apresentam dificuldades para o uso de dados e produtividade. Pior ainda, usá-los para assistir filmes é participar de pirataria – não é exatamente o tipo de coisa que você quer que aconteça em um dispositivo corporativo.
Risco – 3/5

O mercado de moedas criptográficas

Nos últimos anos, moedas criptográficas como bitcoin decolaram. Com as pessoas se tornando milionárias praticamente da noite para o dia, todos estão em busca do próximo sucesso. Isso criou um mercado preparado para o abuso – até pela natureza mercurial da moeda criptográfica e como ela é negociada.
Existe um número substancial de aplicativos de negociação de moedas criptográficas, e eles compõem a quinta categoria mais comum de aplicativos que é carregada lateralmente para dispositivos. O aplicativo de moeda criptográfica mais comum que é carregado lateralmente para dispositivos iOS é Binance.
Aplicativos de negociação financeira não verificados são alvos incrivelmente valiosos para atores maliciosos – há uma grande quantidade de informações financeiras sendo transferidas, e há o potencial de ganho substancial (e perda pessoal substancial para um usuário descuidado). As ameaças para esses aplicativos podem tomar a forma de vulnerabilidades que são perdidas por desenvolvedores negligentes ou versões falsas do aplicativo que irão roubar todas as informações nele inseridas.
Outro aplicativo que levanta suspeitas é o Kucoin. Ele está na Loja do Google Play, mas não na App Store. Para iOS, ele pode ser sideloaded mas requer um perfil para ser instalado, e foi criado pela “Meridian Medical Network Corp.”. – pedidos incomuns como este podem muitas vezes ser um sinal de aviso. Também tem havido pelo menos uma instância de um falso aplicativo Kucoin sendo criado.

Qual é o risco?

Como em todas as outras categorias mais comuns de aplicativos com carregamento lateral, há um risco inerente devido à falta de supervisão sobre a segurança dos aplicativos individuais. Qualquer exploração acidental será caçada e exposta, e haverá por aí aplicações deliberadamente maliciosas que o utilizador incauto poderá instalar pondo-as em risco de danos financeiros pessoais.
Risco – 2/5 para a organização – 4/5 para o usuário final do aplicativo

Tudo o resto

Cobrimos apenas os cinco tipos mais comuns de aplicativos com carregamento lateral – há muitos outros que os usuários podem instalar para obter acesso extra ao seu dispositivo, ou para contornar a política que o Google e a Apple mantêm em suas respectivas lojas de aplicativos. Foi demonstrado que as ajudas de enraizamento, conteúdo adulto, até mesmo leitores de pdf contêm conteúdo malicioso e, quando carregados lateralmente, há muito pouca garantia de que um aplicativo seja seguro. Tudo isso reforça o ponto de que uma supervisão e visibilidade adequadas são vitais para garantir uma segurança móvel completa.

O que posso fazer?

Recolhemos primeiro todas as AppIDs das aplicações mencionadas neste artigo (encontradas no final desta página), para que você possa ficar de olho nelas nos seus dispositivos – você deve ser capaz de ver todas as AppIDs instaladas se você usar uma solução EMM.
Segundamente, você deve considerar investir em uma solução de segurança que possa monitorar e bloquear continuamente as ameaças emergentes em toda a sua frota, onde quer que elas possam ser acionadas no dispositivo. Com relação aos aplicativos com carga lateral, você deve procurar uma solução que sinalize configurações perigosas no dispositivo (como permitir downloads de fontes desconhecidas ou ser preso), bloquear aplicativos que você destacou como indesejáveis e notificá-lo de aplicativos que exibam atividades perigosas, como a exfiltração de dados.
Se você quiser saber mais sobre como proteger a sua organização contra ameaças móveis, entre em contato com um dos nossos especialistas em mobilidade hoje.

>

3rd Party App Store

Tutuapp

iOS: com.tutuapp.tutuapphwenterprise, com.wjxhw.yhyy
Android: com.feng.droid.tutu
Aptoide
Android: cm.aptoide.pt

Games

Fortnite Installer
Android: Com.epicgames.portal

Aplicações de filmes livres

Caixa de filmes
iOS: com.sull.videofun, com.vshare.move, com.tweakbox.moviebox
BobbyHD/Cotomovies
iOS: bobb.bcc.com, com.tweakbox.bobbymovie, bobby.bcc.movie, bobby.movie.bcc

Cryptocurrency

Binance
iOS: com.binanceInternational.app, com.bijie.Binance, com.forbnbsignedinternational.app, com.NATELOOO20180329.internalApp, com.internaluseSignbnbCloud.bnbapp, com.internalUseSign180322.app
Kucoin
iOS: com.koins.nb, com.kucoin.KuCoin.app