Segurança em Tecnologia Móvel

Prévia do material em texto

Segurança em Tecnologia Móvel 
 
 Atília do Amaral ¹, Glauber Manzoni ² , Vagner Streck ³ 
 
Curso Superior em Análise e Desenvolvimento de Sistemas 
Instituto Federal Farroupilha – Campus São Vicente do Sul 
São Vicente do Sul RS, Brasil. 
Professor orientador: Eric Tadiello Beltrão 
 
{ailitah_moon@hotmail.com¹,glauberfarinha@hotmail.com²,vagnerstreck@gmail.com³} 
 
RESUMO: Em nosso cenário atual, a praticidade e a tecnologia são cada vez mais 
requisitadas, onde as pessoas acessam cada vez mais a internet, buscando informações, 
entretenimento e usando aplicativos juntamente com a tecnologia móvel. O uso dessa 
preciosa ferramenta de acesso a dados gera também uma preocupação, se o acesso à 
informação é seguro. Falaremos nesse artigo sobre a importância da tecnologia móvel 
atualmente, suas principais características, seus riscos relacionados à segurança bem 
como as práticas de prevenção a esses ataques. 
Palavras-chave: segurança móvel, ataques, ameaças. 
ABSTRACT : In our current scenario, convenience and technology are increasingly 
required, where people increasingly access the Internet, searching for information, 
entertainment and using applications with mobile technology. Using this valuable tool 
providing access to data generates also a concern if access to information is secure. This 
article we will talk about the importance of mobile technology today, its main features, 
their risks related to safety and prevention practices to these attacks 
Keywords: mobile security, attacks,threats. 
 
 
São Vicente do Sul 
2012 
 
2 
 
 Sumário 
 
1 INTRODUÇÃO .................................................................................................................. 3 
2 QUAL O SISTEMA MAIS SEGURO? .............................................................................. 5 
2.1 IPhone .......................................................................................................................... 5 
2.2 Windows Mobile .......................................................................................................... 6 
2.3 BlackBerry ................................................................................................................... 6 
2.4 Symbian ....................................................................................................................... 6 
2.5 Android ........................................................................................................................ 7 
3 AMEAÇA DE SEGURANÇA ............................................................................................ 7 
4 ATAQUES LOCAIS ........................................................................................................... 7 
4.1 Limitações para atacar um PDA .................................................................................. 7 
4.2 Execução Automática de Aplicações (auto-run) ......................................................... 8 
4.3 Monitoração de Teclas Digitadas ................................................................................ 8 
5 ATAQUES ATRAVÉS DA REDE .................................................................................... 9 
5.1 Quebra de Criptografia ................................................................................................ 9 
5.2 Rogue Access Points (Pontos de acesso falsos) ........................................................... 9 
6 CONCLUSÃO .................................................................................................................... 9 
7 REFERÊNCIAS ................................................................................................................ 10 
 
 
3 
 
1. INTRODUÇÃO 
 
Consideramos que um dispositivo móvel é um equipamento digital que serve para a 
realização de inúmeras tarefas cotidianas em qualquer lugar, como trabalho, pagamento 
de contas, lazer dentre outras. Isso inclui os pocket PCs, Palms, Smartphones e 
relacionados. Os Laptops, também se encaixam nessa definição, mas pelo seu maior 
poder de hardware eles possuem formas diferentes de segurança, equivalentes a 
Desktops. 
De acordo com (Thienne M. Johnson, 2007), os dispositivos móveis podem ser 
divididos em três principais categorias, que são: 
O primeiro grupo é o dos Laptops, que são computadores portáteis, que possuem 
capacidade de processamento alta, equivalentes a um Desktop. 
O segundo grupo é o dos PDAs, possuem telas pequenas, recursos multimídia acesso a 
rede e processamento elevado em relação a um telefone celular, mas inferior se 
comparado a um notebook. Suportam linguagens de programação de alto nível. 
Ao terceiro grupo, pertencem os telefones celulares, suas características são: memória 
expansível, Bluetooth e suporte à linguagem Java. Os celulares mais avançados são 
chamados de Smarthphones, que além dos recursos do celular, incorporam também 
recursos dos PDAs. 
Lembrando que existem muitos aparelhos de mesma categoria que possuem algumas 
características em comum, mas o desenvolvimento de aplicativos pode variar de uma 
para outra, pois o hardware tem grande influência na escolha da linguagem para 
desenvolvê-los. 
O Brasil fechou janeiro de 2012 com quase 245,2 milhões de linhas ativas na telefonia 
móvel e teledensidade de 125,29 acessos por 100 habitantes. O número absoluto de 
novas habilitações (2,9 milhões) é o maior registrado em um mês de janeiro nos últimos 
13 anos e representa um crescimento de 1,22% em relação a dezembro de 2011, 
segundo a Anatel (Agência Nacional de Telecomunicações). Por se tratar de uma 
ferramenta portátil no qual convergem outras tecnologias, o aparelho celular pode 
oferecer muitos serviços, tais como o acesso a canais de televisão abertos, GPS, 
4 
 
internet, câmera digital, pagamento de conta online, tornando-se assim um elemento 
indispensável à vida moderna. 
Nemertes, em seu relatório “Communications and Computing Benchmark: 2011/12”, 
fala sobre suas pesquisas relacionadas à implantação de uma plataforma de 
gerenciamento de dispositivos móveis, ele descobre que cerca de 60% das 240 empresas 
entrevistadas pretendem ou já estão adquirindo essa tecnologia. Outro motivo é que o 
tempo atualmente é um grande fator estratégico, e pela velocidade de acesso as 
informações, e em qualquer lugar a tecnologia se torna sinônimo de praticidade e 
aumento de produtividade. 
Abaixo, gráfico de crescimento em relação a acessos em dispositivos móveis, realizado 
no segundo semestre de 2010. 
 
 
 Fonte: Allow Communications, 2010. 
Pesquisas realizadas pela Universidade da Califórnia em Los Angeles preveem que os 
PCS serão gradativamente substituídos pela tecnologia móvel, apenas pessoas que 
necessitam de atividades muito especificam continuarão usando PCs. Isso poderá 
acontecer pela facilidade e praticidade de acesso à internet, emails, edição de imagens e 
textos, trabalhando remotamente, acessando conta bancária entre outros softwares e 
aplicativos. 
Sabendo que se trata de uma tecnologia recente, surge uma demanda maior de 
desenvolvimento de aplicações mais sofisticadas com maiores garantias de qualidade de 
5 
 
serviço e segurança. Um exemplo são aplicações bancárias, que necessitam de uma 
maior atenção no que diz respeito à segurança. Entretanto, esses dispositivos trazem 
consigo uma série de fatores que complicam o desenvolvimento desse tipo de 
aplicações, pois os dispositivos móveis não possuem um considerável poder de 
processamento, memória e energia. 
2.QUAL O SISTEMA MAIS SEGURO? 
 
Pesquisa da Unversidade de Rutgers (NewJersey, EUA), descobriu que existem 
softwares maliciosos para celulares que podem oferecer um alto risco para os 
utilizadores de sistemas móveis. Atualmente existem diferentes tipos de ameaças para 
cada sistema de dispositivo, abaixo relacionaremos alguns dos sistemas e o que deve 
levar em conta para evitar possíveis ameaças. 
1.1 IPhone 
Há muito a ser descoberto sobre esse sistema tão comentado, metade das descobertas 
feitas durante a pesquisa acerca do iPhone. O malware para esse aparelho teve uma 
abordagem diferente com o lançamento do iOS4 que foi lançado em 2010. Devido ao 
sistema multitarefa utilizado nesses aparelhos faz com que a presença de malware seja 
bem menos notada e intrusiva. Os malwares geralmente são encontrados em iPhones 
com jailbreack. 
“Jailbreak” significa liberar o telefone das limitações feitas pelas operadoras no caso 
pela própria Apple. Os usuários instalam um aplicativo em seus computadores, 
transferem-no para o aparelho, o executam, liberando o sistema de arquivo do aparelho 
para modificações. No entanto ao executar esse processo liberam o sistema para que 
possíveis processos maliciosos possam entrar em seus sistemas e tenham acesso as 
informações pessoais como dados de contas e documentos. Esses apps para sistemas 
com jailbreak não possuem as limitações impostas pela Apple e por este motivo podem 
representar uma ameaça mais provável de infectar seu aparelho. 
Além desse possível problema, ao alterar a senha em um iPhone com jailbreak, facilita 
aos invasores a criação de worms que são usados para infectar o sistema. 
6 
 
A Apple é lenta em resolver esse tipo de vulnerabilidade, incluindo uma exploração de 
mensagens SMS lançada no terceiro trimestre de 2010. Isso também relevou que a 
Apple é tão lenta em solucionar esse tipo de problema que uma determinada empresa 
conseguiu criar uma pech para esse bug antes que eles resolvessem. 
1.2 Windows Mobile 
Quando o assunto são ameaças, o Mobile chama a atenção na capacidade de atração de 
malwares via SMS. Uma face interessante do sistema Mobile da Windows é que ele 
possui uma alta compatibilidade com as suas versões de sistemas para desktop. Esse 
detalhe abriu as portas do sistema Mobile para muitos malwares que já tinham uma 
existência para PCs, assim eles eram portados diretamente para o sistema Mobile. Um 
dos exemplos que pode ser citado é a botnet Zeus (rede de micros zumbis), que 
começou a aparecer nas versões móveis do Windows nos últimos anos. 
1.3 BlackBerry 
O sistema BlackBerry é bastante diferente em certos critérios em relação ao 
smartphone padrão. O sistema usa o que é provavelmente a fonte mais fechada entre os 
sistemas operacionais discutidos ate agora. A fábrica do aparelho, tem feito um ótimo 
trabalho em manter restrito ao público os recursos internos mais sensíveis do telefone 
inteligente. Esse fato é predominante para o pequeno número de invasões ao sistema 
BlackBerry. 
O BlackBerry também sofre devido ao fato do seu sistema multitarefa, que ajuda a rodar 
de forma quase despercebida os malwares. 
1.4 Symbian 
Sobre esse sistema não há muitas informações sobre malwares, apesar de ser um dos 
mais antigos dos smartphones é ainda um dos mais populares do mundo especialmente 
fora dos EUA. Windows, BlackBerry e Symbian apresentam vários malwares que não 
se fazem presente para os sistemas Android e iPhone. Presente na família dos telefones 
com Mobile , o Zeus ganhou também uma versão para o Symbian, a versão da botnet é 
usada como meio de interceptar as mensagens de texto enviadas como um segundo fator 
de autenticação em diversos dos seus serviços 
7 
 
1.5 Android 
O android, sistema desenvolvido pela Google, é o único sistema com código aberto 
entre os OS discutidos até agora. A vulnerabilidade de seus aplicativos não é 
monitorada. Desse modo qualquer indivíduo pode desenvolver e enviar apps com 
funções maliciosas, tendo menos chances de serem descobertos. Nesse tipo de sistema 
depende exclusivamente do seu usuário a capacidade de determinar se a fonte é 
confiável e segura para poder realizar a aplicação de apps. 
A Amazon possui agora uma loja separada para apps do sistema, impondo regras e 
políticas adicionais para os aplicativos distribuídos por ela. 
3 AMEAÇA DE SEGURANÇA 
Ameaças à segurança são aquelas que podem comprometer a confidencialidade, ou seja, 
acesso não autorizado as informações do proprietário, comprometer a integridade, ou 
seja, manipulação dos dados do proprietário sem sua autorização, comprometer a 
disponibilidade, ou seja, retirar informações que deveriam estar disponíveis para o 
proprietário ou pessoas autorizadas por ele. 
4 ATAQUES LOCAIS 
São ataques em que se faz necessária a manipulação direta com o dispositivo, ou seja, é 
necessário ter o dispositivo em mãos para realizar este tipo de ataque. Esse tem como 
principais objetivos o roubo de informações ou infecção do dispositivo com o objetivo 
de abrir espaços para uma posterior invasão através da rede. Deve-se lembrar de que 
ataques a dispositivos móveis são relativamente novos e bem complexos, devido às 
limitações que possuem. Os atacantes a este tipo de dispositivo devem ter grande 
conhecimento sobre o processador e o sistema operacional do dispositivo que pretende 
atacar e sobre tudo uma grande dedicação. 
4.1 Limitações Para Atacar Um PDA 
A maioria dos sistemas operacionais móveis são armazenados em memórias ROM, o 
que acaba se tornando um grande obstáculo para realizar um ataque a estes dispositivos. 
Então para realizar um ataque será necessário direciona-lo a aplicações instaladas 
8 
 
manualmente pelo dono do dispositivo, procurando por falhas. Para isso hackers 
utilizam uma técnica conhecida como “teste cego”, que consistem em atacar o sistema 
“por fora”, geralmente através de campos de entrada de variáveis. Outra característica 
que dificulta o desenvolvimento de código malicioso para tais equipamentos é o fato de 
que cada empresa além de instalar os componentes essenciais, instala também 
componentes particulares. 
4.2 Execução Automática de Aplicações (auto-run) 
 Outra ameaça encontrada atualmente, são programas maliciosos que se 
propagam através de pen-drives e cartões de memória, a utilização destes pode 
representar um grande risco a dispositivos móveis que usam o Windows Mobile como 
sistema operacional, um arquivo chamado “autorun.exe” em uma pasta chamada 2577, 
será automaticamente executado, sem o consentimento do usuário. Isso pode não 
representar nenhum risco aparentemente, mas, por exemplo, existe a possibilidade de 
fazer com que um PDA volte a sua configuração de fábrica através da execução de um 
script, então imagine se esse script for nomeado autorun.exe e inserido em um cartão de 
memória, quando o usuário inserir esse cartão memória em seu dispositivo o script irá 
executar automaticamente apagando todos os seus dados. 
4.3 Monitoração de Teclas Digitadas 
Os PCs já estão em alerta quanto à infecção de leitores de teclado, os chamados 
“keyloggers”, pois há muito tempo já são utilizados em ataques, com a principal 
finalidade de descobrir senhas. 
No mundo dos dispositivos móveis, esse tipo de infecção já está sendo bastante 
utilizada, mas ainda não se tem dado muita importância pelo fato de que os dispositivos 
com telas sensíveis ao toque tem um conceito de teclado diferenciado dos teclados de 
um PC comum. Mesmo se tornando mais difícil a monitoração desse teclado, não quer 
dizer que isso seja impossível, apenas será necessário um forma um pouco mais 
trabalhosa para realizar a infecção. 
Esse tipo de dispositivo não utiliza um teclado físico, mas sim uma interface que simula 
teclas, essacaracterística dificulta bastante a monitoração das teclas. Quando o 
dispositivo é iniciado primeiramente ele faz uma busca por um teclado, estes são 
9 
 
controlados por uma DLL, presente na memória ROM, que possui tanto a interface 
gráfica quanto o código de conversão de entrada. Então a infecção por um leitor de 
teclado consiste basicamente na instalação de um teclado idêntico ao teclado original, 
porém com uma característica especial, a de salvar as teclas digitadas em um arquivo de 
texto. Para realizar essa infecção, pode-se utilizar um arquivo denominado CAB 
(Arquivos do sistema com permissões para alteração de registro, utilizados em 
instalações de aplicativos) que irá substituir a DLL do teclado antigo pela DLL do novo 
teclado, após a instalação do novo teclado o usuário final não terá ideia que o sistema 
está chamando o teclado infectado. 
5. ATAQUES ATRAVÉS DA REDE 
5.1 Quebra de Criptografia 
Existem vários tipos de tecnologia de criptografia para proteção de dados que 
trafegam em redes sem fio. Inicialmente não se utilizava nenhum tipo de criptografia, 
possibilitando a qualquer pessoa conectar-se na rede, podendo observar todo o tráfego 
em texto puro, incluindo, credenciais dos usuários mensagens de correio eletrônico, 
entre outros. Depois surgiu um sistema de criptografia fraco, o chamado WEP (Wired 
Equivalent Privacy), mas em pouco tempo após seu surgimento por ser uma chave 
estática e de tamanho reduzido, foi facilmente burlada. Hoje em dia, o sistema de 
autenticação já possui uma proteção considerável utilizando-se de certificados digitais e 
de chaves dinâmicas e mais complexas para criptografia, os ataques à criptografia têm 
como finalidade burlar esses sistemas para capturar o tráfego não criptografado. 
5.2 Rogue Access Points (Pontos de acesso falsos) 
Esta é uma das formas mais práticas de se conseguir credenciais de usuários, induzindo-
os a se conectarem e autenticarem em pontos de acessos falsos. Esses pontos de acesso, 
deverão estar com o mesmo nome de acessos que o usuário costuma se conectar, então 
ele descuidado irá efetuar a conexão e terá suas credenciais roubadas. Essa técnica é 
geralmente usada em redes 802.11 (wi-fi) e Bluetooth. 
6. CONCLUSÃO 
 
10 
 
Grandes são as evoluções dos meios de comunicação em um pequeno espaço de tempo, 
de um simples celular, onde sua história no Brasil começou em 1990, surgiram várias 
categorias originadas dele, os dispositivos móveis. Adquirir um aparelho como este já 
não é mais questão de se manter conectado a telefonia, mas sim com as opções de 
entretenimento e opcionais que os aparelhos mais avançados dispõem. Apesar de 
parecer algo que está em constante evolução, devemos ficar atentos com os sistemas de 
segurança dos mesmos, verificar qual tipo de limitação o aparelho tem em relação aos 
ataques e ameaças, evitando o vazamento de dados e possíveis prejuízos ao usuário. 
7. REFERÊNCIAS: 
 
JOHNSON Thienne M. Java para Dispositivos Móveis, Desenvolvendo Aplicações 
com J2ME, São Paulo: Editora Novatec, 2007. 
 
LAKATOS, Eva Maria. Metodologia do Trabalho Científico: procedimentos 
básicos, pesquisa bibliográfica, projeto e relatório, publicações e trabalhos 
científicos / Maria de Andrade Marconi, Eva Maria Lakatos. São Paulo, 7° edição: 
Atlas, 2009. 
. Acessado dia 13/05/2012 www.anatel.gov.br
http://cio.uol.com.br/tecnologia/2011/10/11/em-dia-com-as-ameacas-a-seguranca-
movel/ . www.nemertes.com Por Elisabeth Horwitt, CIO/EUA. Acessado dia . 
23/04/2012. 
.Os http://www.vermelho.org.br/noticia.php?id_noticia=176391&id_secao=1
assustadores números da telefonia móvel no Brasil. Acessado dia 09/05/2012. 
Monografia: Um estudo prático das ameaças de segurança em dispositivos portáteis 
com Windows Mobile - Bruno Paulo Usiglio Kovacs e Vanesa de Freitas Monteiro 
Departamento de Informática – PUC-Rio. http://biblioteca.universia.net Acessado dia . 
04/05/2012. 
Monografia: PalmDataCollector: Um framework paramodelagem de sistemas para 
coleta dedados em dispositivos móveis a partir de uma base de dados- Alexander 
Haroldo da Rocha-Unesp-2008. 
http://www.comunicageral.com.br/profPortifolio/dcbf7c9c1d.pdf Acessado dia . 
17/05/2012. 
Gráficos: http://www.allot.com/mobiletrends.html