Uma melhor experiência do usuário pode reduzir os problemas de segurança do smartphone
- Dois relatórios recentes destacam que os invasores estão cada vez mais perseguindo o elo mais fraco da cadeia de segurança: as pessoas.
- Especialistas acreditam que a indústria deve introduzir processos para fazer as pessoas aderirem às melhores práticas de segurança.
- O treinamento adequado pode transformar os proprietários de dispositivos nos defensores mais fortes contra os invasores.
400tmax / Getty Images
Muitas pessoas não conseguem avaliar a extensão das informações confidenciais em seus smartphones e acreditam que esses dispositivos portáteis são inerentemente mais seguro do que PCs, de acordo com relatórios recentes.
Ao listar os principais problemas que assolam os smartphones, relatórios da Zimperium e Cyble indicam que nenhuma quantidade de segurança integrada é suficiente para impedir que invasores comprometam um dispositivo se o o proprietário não toma medidas para protegê-lo.
"O principal desafio, eu acho, é que os usuários não conseguem fazer uma conexão pessoal dessas práticas recomendadas de segurança com suas próprias vidas pessoais",
Ameaças móveis
Nasser Fattah, Presidente do Comitê Diretor da América do Norte em Avaliações Compartilhadas, disse à Lifewire por e-mail que os invasores vão atrás de smartphones porque eles fornecem uma superfície de ataque muito grande e oferecem vetores de ataque exclusivos, incluindo phishing por SMS ou smishing.
Além disso, os proprietários regulares de dispositivos são visados porque são fáceis de manipular. Para comprometer o software, é preciso haver uma falha não identificada ou não resolvida no código, mas as táticas de engenharia social de clique e isca são perenes, Chris Goettl, vice-presidente de gerenciamento de produtos da Ivanti, disse à Lifewire por e-mail.
“Sem entender que eles têm um interesse pessoal em tornar seus dispositivos seguros, isso continuará sendo um problema”.
O Relatório Zimperium observa que menos da metade (42%) das pessoas aplicaram correções de alta prioridade dentro de dois dias a partir seu lançamento, 28% exigiram até uma semana, enquanto 20% levaram até duas semanas para corrigir seus smartphones.
"Os usuários finais, em geral, não gostam de atualizações. Eles geralmente interrompem suas atividades de trabalho (ou lazer), podem mudar o comportamento em seu dispositivo e podem até causar problemas que podem ser um inconveniente mais longo”, opinou Goettl.
O Relatório Cyble mencionou um novo trojan móvel que rouba códigos de autenticação de dois fatores (2FA) e se espalha por meio de um aplicativo falso da McAfee. Os pesquisadores entendem que o aplicativo malicioso é distribuído por outras fontes além da Google Play Store, que é algo que as pessoas nunca devem usar e pede muitas permissões, que nunca devem ser garantido.
Pete Chestna, CISO da América do Norte em Checkmarx, acredita que somos nós que sempre seremos o elo mais fraco em segurança. Ele acredita que dispositivos e aplicativos precisam se proteger e se curar ou ser resilientes a danos, já que a maioria das pessoas não pode ser incomodada. Em sua experiência, as pessoas estão cientes das práticas recomendadas de segurança para coisas como senhas, mas optam por ignorá-las.
"Os usuários não compram com base na segurança. Eles não usam [isso] com base na segurança. Eles certamente nunca pensam em segurança até que coisas ruins tenham acontecido com eles pessoalmente. Mesmo depois de um evento negativo, suas memórias são curtas", observou Chestna.
Proprietários de dispositivos podem ser aliados
Atul Payapilly, Fundador de Comprovadamente, olha para ele de um ponto de vista diferente. Ler os relatórios o lembra dos incidentes de segurança da AWS frequentemente relatados, disse ele à Lifewire por e-mail. Nesses casos, a AWS estava funcionando conforme projetado e as violações foram, na verdade, o resultado de permissões incorretas definidas pelas pessoas que usavam a plataforma. Eventualmente, a AWS mudou a experiência da configuração para ajudar as pessoas a definir as permissões corretas.
Isso ressoa com Rajiv Pimlaskar, CEO da Redes Dispersivas. "Os usuários estão focados na escolha, conveniência e produtividade, e é a indústria de segurança cibernética responsabilidade de educar, bem como criar um ambiente de absoluta segurança, sem comprometer o usuário experiência."
A indústria deve entender que a maioria de nós não é pessoas de segurança, e não podemos esperar que entendamos os riscos teóricos e as implicações de não instalar uma atualização, acredita Erez Yalon, vice-presidente de pesquisa de segurança da Checkmarx. "Se os usuários puderem enviar uma senha muito simples, eles farão isso. Se o software puder ser usado, embora não tenha sido atualizado, ele será usado", compartilhou Yalon com Lifewire por e-mail.
id-work / Getty Images
Goettl se baseia nisso e acredita que uma estratégia eficaz poderia ser restringir o acesso de dispositivos não compatíveis. Por exemplo, um dispositivo desbloqueado, ou um que tenha um aplicativo defeituoso conhecido, ou esteja executando uma versão do sistema operacional que é conhecido por estar exposto, todos podem ser usados como gatilhos para restringir o acesso até que o proprietário corrija o falso de segurança pas.
A Avivi acredita que, embora os fornecedores de dispositivos e desenvolvedores de software possam fazer muito para ajudar a minimizar o que o usuário acabará sendo exposto, nunca haveria uma bala de prata ou uma tecnologia que pudesse realmente substituir wetware.
"A pessoa que pode clicar no link malicioso que passou por todos os controles de segurança automatizados é o mesmo que pode denunciá-lo e evitar ser impactado por um dia zero ou um ponto cego de tecnologia", disse Avivi.