Artigo

    

Seu dispositivo a salvo

Como garantir a segurança de um dispositivo Android sem privar-se dos mais modernos aplicativos e sem deixar de lado os melhores recursos da tecnologia.


Por Flávia Jobstraibizer


Diariamente são descobertas novas vulnerabilidades em dispositivos móveis, principalmente no que se refere ao sistema operacional mais utilizado atualmente, o Google Android. São criados vírus, cavalos de tróia e vulnerabilidades extras para coletar informações dos usuários incautos. Tais problemas de segurança ocorrem devido a popularidade da ferramenta, que a cada dia que passa ganha novos adeptos, dos mais variados lugares do globo terrestre (e até mesmo fora dele [1]). Não surpreendentemente, novas formas de proteção dos dispositivos surgem na mesma velocidade em que os problemas são encontrados. Há empresas trabalhando freneticamente na correção de vulnerabilidades nas mais diversas versões do kernel Android, assim como criando novas ferramentas e formas de prevenir potenciais problemas. Mas como ter a certeza de que um aplicativo não é malicioso ou mesmo que não irá realizar tarefas à revelia do usuário? Este é o assunto que vamos abordar neste artigo.


Quem manda aqui?


É sabido que muitos aplicativos efetuam tarefas em nome do usuário. Por exemplo: o aplicativo para mídias sociais Facebook possui permissão para publicar em nome do usuário, compartilhar qualquer documento presente no dispositivo e até mesmo enviar relatórios de uso do usuário para a equipe de desenvolvimento da ferramenta. É importante salientar que o usuário deve estar atento às permissões que cada aplicativo exige do usuário no momento da instalação. Um programa pode ser considerado suspeito (lembre-se de que suspeito não significa culpado), se:


» Um jogo não deve solicitar permissões para efetuar ligações a partir do telefone.
» Um aplicativo de descoberta de pontos de interesse não deve solicitar permissões para modificar ou alterar conteúdos do cartão de memória do aparelho.
» Um aplicativo de GPS não deve solicitar permissões para ler mensagens de texto do aparelho (figura 1).


Figura 1 Esteja atento às permissões solicitadas por um aplicativo no momento de sua instalação.


Vale a pena lembrar que outro ponto importante e que vale ser ressaltado é a confiabilidade do desenvolvedor da ferramenta. Se a ferramenta possui um desenvolvedor confiável, é possível aceitar o grupo de permissões (mesmo que estranhas) e prosseguir com a instalação ou mesmo declinar da instalação. Em último caso, é possível ainda entrar em contato com o desenvolvedor da ferramenta e questioná-lo sobre os motivos de determinada permissão. As permissões que um aplicativo ou jogo exigem são exibidas um momento antes do início da instalação (figura 2). Neste momento é possível aceitar ou cancelar a instalação caso entenda que o jogo ou aplicativo exige mais permissões do aparelho do que realmente deveria.


Encontre o problema


Muitos usuários culpam o sistema operacional (ou até mesmo o fabricante do aparelho) por um início de mal funcionamento inesperado, como loops de reinicialização, travamentos, congelamentos momentâneos etc. No entanto, tais problemas podem ser obra de um aplicativo que apresenta alguma falha de segurança. O seguinte cenário é válido e deve ser considerado:
» Um determinado aplicativo instalado em um aparelho de celular recebeu uma atualização na semana passada.
» Como o aplicativo não é muito utilizado, somente ontem o usuário proprietário do aparelho executou o aplicativo.
» Após o uso do aplicativo, o usuário voltou à suas atividades normais. No entanto, o aparelho passou a reiniciar sozinho. Sim, a falha está no tal aplicativo que recebeu uma atualização que possuía uma falha de segurança qualquer. Talvez não seja tão simples encontrar o problema caso o usuário seja novato ou inexperiente. De qualquer forma, é importante lembrar que os dispositivos móveis atuais são modernos o suficiente para não começarem a apresentar problemas “do nada”.



Figura 2 Permissões de aplicativo no momento da instalação.


Atualizações em dia


O cenário exemplificado anteriormente não quer dizer que o leitor não deve atualizar seus aplicativos, mesmo porque, com as novas políticas de atualização automática do Google Play, será muito difícil manter um aplicativo desatualizado. As atualizações são importantes para evitar potenciais problemas ou mesmo corrigir outros que a equipe de desenvolvimento possa ter encontrado na versão em execução do dispositivo.


Antivirus e proteção extra


Aplicativos antivirus, removedores e bloqueadores de propagandas (conhecidos como ad blockers) também são alternativas viáveis para a proteção de dispositivos Android. Comumente, propagandas em aplicativos podem conter vírus, cavalos de tróia, exploits ou outras ameaças que comprometem o dispositivo.


Backup garantido


Manter uma solução de backup bem configurada, sendo este realizado preferencialmente em uma mídia externa (o que ajudaria no caso de roubo ou danos ao aparelho) é outra boa pedida quando se trata de segurança. Atualmente existem diversos sistemas em nuvem que permitem armazenar dados remotamente, sem a necessidade de um pendrive ou qualquer mídia removível (também sujeita a falhas, roubo ou danos) e de onde é possível recuperar rapidamente os dados em caso de necessidade.


Perdi, e agora?


Já imaginou o que aconteceria se o leitor perdesse seu precioso smartphone ou tablet novinho em folha ou mesmo se o esquecesse em algum lugar? E se fosse roubado? Em qualquer um destes casos todos os dados presentes no aparelho estariam sujeitos a serem utilizados por qualquer pessoa, até mesmo de formas maliciosas. Para prevenir este problema, existem no Google Play diversos aplicativos que efetuam buscas georeferenciadas do dispositivo (localizando-o via satélite GPS) para que seja possível encontrá-lo. Alguns destes aplicativos ainda enviam emails para um endereço cadastrado previamente contendo valores de latitude e longitude para que seja mais fácil localizar o aparelho em um mapa como o Google Maps. Outros aplicativos vão mais além e abordam o impensável cenário do caso de não obtermos sucesso em recuperar o aparelho: auxiliar o usuário a apagar os dados, travar o sistema e até mesmo a danificar remotamente o aparelho para que o ladrão não possa utilizá-lo.  



Figura 3 CVE: repositório de vulnerabilidades.


Root pra que?


Se o leitor não é um usuário avançado, não é desenvolvedor de aplicativos nem nada do gênero, não faça o root do aparelho (garantir permissões administrativas no sistema de forma que seja possível alterá-lo completamente). Usuários inexperientes podem danificar o aparelho de forma que seja impossível sua recuperação, ou ainda oferecer gratuitamente as chaves para que um invasor entre pela porta da frente, sequestre dados, informações e danifique o dispositivo.


Conclusão


Este artigo aborda apenas alguns dos diversos cenários nos quais seu dispositivo pode estar vulnerável e algumas formas de prevenir-se destes problemas. Caso queira ficar por dentro de todas as vulnerabilidades encontradas, seus potenciais riscos e andamento da correção, visite o site da CVE [2], o maior repositório de vulnerabilidades disponível na Internet (figura 3). Fique sempre atento a qualquer mudança em seu aparelho, mal comportamento após atualizações, remova aplicativos que possam estar comprometendo o sistema e lembre-se de que segurança é sempre a palavra de ordem quando se trata dos seus preciosos dados!


Mais informações


[1] Satélites da NASA com Android: http://www.linuxmag.com.br/lm/noticia/satelite_da_nasa_com_android_comeca_a_enviar_imagens_do_espaco/
[2] Vulnerabilidades encontradas no Google Android: http://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224/

Flávia Jobstraibizer, (fjobs@linuxnewmedia.com.br, twitter: @flaviajobs) é gerente de projetos e analista de sistemas. Trabalha com TI desde 1998 tendo atuado em multinacionais e empresas de diversos segmentos, trabalhando com tecnologias livres e proprietárias. Atualmente é editora-chefe das revistas Linux Magazine e Admin Magazine.

Notícias

Leitor da Linux Magazine paga meia para entrar no FISL18

Publicado em: 06/07/2018 às 21:05 | leituras |

Parceria entre a ASL.org e a Linux Magazine disponibiliza código promocional que fornece 50% de desconto na inscrição para o FISL18.

DevOpsDays chega a Maringá pela primeira vez

Publicado em: 20/03/2018 às 18:25 | leituras |

O DevOpsDays terá sua sétima edição no Brasil sendo sediada na cidade de Maringá, no Paraná, dias 23 e 24 de março, no Sebrae. O evento acontece em mais de 40 países e nele foi criado o termo "DevOps" (em 2009, na cidade de Gante - Bélgica).

SENAI/Fatesg promove segundo Meeting Hacker Senai

Publicado em: 18/02/2018 às 12:47 | leituras |

No dia 24/02/2018 a partir das 8:00h, o SENAI/Fatesg realizará o segundo Meeting Hacker Senai, com a participação do LPI, da Infomach e da Barketilly.

Certificações LPI: o caminho para turbinar a sua carreira

Publicado em: 13/10/2017 às 15:50 | leituras |

O Linux Professional Institute (LPI) oferecerá provas de certificação na Latinoware, em Foz do Iguaçu, em outubro, na Poticon, em Natal e no FGSL em novembro. Fique antenado! Este artigo elenca as últimas novidades sobre o LPI.

Blog do maddog: Ambientes de nuvem privada virtual

Publicado em: 06/10/2017 às 14:09 | leituras |

O Subutai é uma solução de nuvem de código aberto, ponto a ponto (P2P), segura e estável, que cria ambientes de nuvem privada virtual (VPC) para usuários finais usando um modelo de nuvem de contêineres como serviço (CaaS). O usuário final pode instalar qualquer tipo de serviço, aplicativo ou software de infraestrutura que desejar nas máquinas em execução nessa nuvem.


Mais notícias

lançamento!

LM 119 | Backup e Restauração




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Soluti Certificação Digital em busca de especialista Linux

    Publicado em 19/04/2017 às 17:18 | 578027 leituras

  1. Seminário sobre gestão de privilégios do Linux dá direito a certificado CPE

    Publicado em 23/05/2017 às 10:35 | 496140 leituras

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 464488 leituras

  1. 4Linux abre vagas para Líder Técnico em São Paulo e Brasília

    Publicado em 25/07/2017 às 14:12 | 339870 leituras

  1. Novo evento "Universidade Livre" será realizado em Belém/PA em 06/05/2017

    Publicado em 28/04/2017 às 11:19 | 291271 leituras

  1. Kernel Linux 2008.4?

    Publicado em 17/10/2008 às 10:33 | 10131 leituras

  1. PagSeguro libera novas APIs para desenvolvedores

    Publicado em 20/09/2011 às 12:23 | 12970 leituras

  1. Google corrige cinco falhas no Google Chrome

    Publicado em 02/08/2010 às 15:56 | 9795 leituras

  1. Apache OpenOffice 3.4.1 ganha mais idiomas, estabilidade e desempenho

    Publicado em 24/08/2012 às 11:49 | 10086 leituras

  1. Faltará mão de obra no setor de outsourcing de TI no BrasilNenhum comentário

    Publicado em 14/04/2014 às 14:17 | 7743 leituras

whitepapers

mais whitepapers