Relatórios da Checkmarx e da AppSec Labs revelam ainda que os apps móveis costumam ter, em média, nove vulnerabilidades

Pesquisas recentes das empresas de segurança móvel Checkmarx e AppSec Labs revelam que aplicativos desenvolvidos para dispositivos iOS têm mais vulnerabilidades do que aqueles feitos para Android,o que pode gerar problemas de segurança no futuro.

Os relatórios revelam também que os aplicativos móveis costumam ter, em média, nove vulnerabilidades.

Das vulnerabilidades encontradas nos dispositivos iOS, 40% foram consideradas críticas ou graves, em comparação com 36% das vulnerabilidades identificadas para Android, afirma Amit Asbel, gerente de marketing de produto da Checkmarx.

Os pesquisadores testaram centenas de aplicações de todos os tipos, incluindo serviços bancários, serviços públicos, varejo, jogos e segurança. Mesmo em grandes aplicações bancárias foram encontradas vulnerabilidades nos processos de autenticação e até vazamento de dados.

"Você esperaria que as aplicações financeiras fossem um pouco mais seguras, mas estamos vendo que são mais do mesmo", disse Asbel.

A vulnerabilidade mais comum, responsável por 27% das ocorrências, foi o vazamento de informações pessoais ou confidenciais. Problemas de autenticação e autorização aparecem em segundo lugar em 23%, seguidos por gerenciamento de configuração (16%). Foram registrados também problemas com disponibilidade, criptografia, logs de aplicação e manipulação de autenticação; 60% das vulnerabilidades de autenticação e autorização também foram classificados como críticas ou graves.

Há uma suposição comum de que os dispositivos iOS são mais seguros do que os aparelhos Android, comenta Asbel. A plataforma iOS tem controles mais restritivos sobre o que os desenvolvedores podem fazer, e um sandboxing poderoso. Além disso, os aplicativos iOS são examinados antes de serem autorizados a entrar na App Store e removidos rapidamente se forem encontrados problemas. E a Apple pode facilmente realizar atualizações de segurança para todos os usuários iOS, enquanto que na plataforma Android as atualizações têm de ser feitas por cada fabricante.

"Na prática, isso pode estar fazendo com que os desenvolvedores se preocupem menos com questões de segurança ao codificar aplicativos para a plataforma iOS, já que confiam nos controles da Apple", disse Asbel.

Essa postura pode ainda não ser um problema hoje, com os criminosos focando em outras falhas. Mas quem garante que não focarão em falhas de desenvolvimento no futuro?

"Podemos comparar o mundo móvel ao mundo do PC há 15 anos", disse Asbel. "Os tipos de ataques que foram lançados em PCs e desktops, há 15 anos, foram semelhantes aos ataques lançados para os dispositivos iOS e Android hoje. Eles são baseados em malware e vírus, porque foi o canal mais fácil."

Hoje, no entanto, 80% dos ataques contra os PCs focam em vulnerabilidades das aplicações, disse ele.

"A mudança que vimos nos desktops também pode acontecer no mercado de dispositivos móveis", alerta o pesquisador.

Por exemplo, hoje, o Android não tem validação suficiente sobre aplicativos enviados para lojas de aplicativos Android. Com a segurança melhorando nesta área, os atacantes vão olhar para outros canais.

"Vamos ver uma mudança para ataques na camada de aplicação", disse ele. "E nós vamos ver que, nesse ponto, o iOS está mais vulnerável do que o Android."