A tendência para rastrear dados é uma grande preocupação para as empresas e utilizadores.
Por Michael Hill
Os navegadores de mapas podem representar riscos de segurança significativos para as empresas, e a sua tendência para rastrear dados é uma das principais preocupações que suscitam. Isto é salientado pelo investigador Felix Krause, que examinou estes navegadores em plataformas como o Facebook, Instagram e TikTok. Observou que eles injetam código JavaScript em páginas web de terceiros, dando às aplicações permissão para observar através de certas interações, incluindo entradas de formulários como senhas e endereços e cliques em imagens e ligações.
A Meta e o TikTok já afirmaram que as suas atividades são benignas, mas o seu comportamento histórico, aliado ao potencial para outros atores utilizarem ou explorarem mal estas capacidades, é preocupante, especialmente quando navegam em dispositivos empresariais que se ligam a redes empresariais e armazenam informação empresarial. As equipas de segurança precisam, portanto, de estar conscientes das ameaças e tomar medidas.
O que são navegadores integrados nas aplicações?
As plataformas utilizam navegadores incorporados quando um utilizador clica num link para uma página web a partir da página web, diz Peter Lowe, investigador sénior de segurança da DSNFilter. “Em vez de uma abertura de página no navegador predefinido do dispositivo móvel, como o Safari ou o Chrome, abre-se numa versão incorporada que corre dentro da própria aplicação”.
Que riscos de segurança representam?
É o controlo elevado da aplicação sobre o browser que pode introduzir os tipos de injeção de código e os problemas de rastreio de dados que a Krause destaca. “O que mostra é que alguns serviços muito populares, incluindo TikTok e Instagram, parecem estar a utilizar isto para seguir os utilizadores, ao ponto de serem monitorizados toques de tecla individuais e de ser adicionado um código de seguimento a cada página. Isto contorna as políticas das lojas de aplicações, mas devido à sua conceção, existe atualmente uma grande lacuna”, diz Lowe.
No que diz respeito aos riscos de segurança associados, um dos aspetos mais cruciais que uma empresa deve considerar é como trata os dados sensíveis e a privacidade, acrescenta Jens Monrad, diretor e chefe da EMEA na Mandiant Intelligence. “Utilizamos o telefone para tudo, também para negócios, pelo que há muitas oportunidades de que a informação crítica possa ser comprometida ou vazada, intencionalmente ou não intencionalmente”.
Outro desafio que as empresas precisam de estar conscientes é que os utilizadores de aplicações quase nunca têm tempo ou paciência para ler todo o guia de direitos e consentimentos. Tipicamente, podem ter mais de 30 páginas. “Embora grande parte da recolha de dados que ocorre seja benigna, os utilizadores podem acabar por consentir em coisas que desconhecem, tais como rastrear as suas credenciais ou localização”.
Uma vez recolhida, a informação é ouro nas mãos dos cibercriminosos, permitindo-lhes clonar uma sessão web com todos os parâmetros da web, tais como a versão do navegador, línguas disponíveis localmente, cookies e outras informações específicas do utilizador, diz Dmitry Bestuzhev, investigador de ameaças na BlackBerry. “Desta forma, os cibercriminosos podem contornar sistemas antifraude geridos por empresas financeiras para identificar os seus clientes reincidentes. Este é o efeito de lobo em pele de ovelha.
Para além da colheita de credenciais, os navegadores embutidos também podem ser explorados para a extração de moeda criptográfica. “É especialmente doloroso quando o navegador está fechado, mas a funcionar em segundo plano. A maioria inclui esta funcionalidade, pelo que a extração de moeda criptográfica poderia estar a funcionar mesmo quando o navegador está aparentemente fechado”.
Como mitigar os riscos de segurança
Abordar tais ameaças nem sempre é simples, mas podem ser tomadas medidas. “É possível configurar uma aplicação para lançar corretamente um browser externo para fazer cliques de ligação em vez de visualizar a página dentro da plataforma”, diz Lowe. “Recomendamos que o façamos sempre que seja impossível informar os utilizadores para que estes estejam mais conscientes das suas atividades.
Outra opção é impedir o acesso a certas aplicações em dispositivos corporativos, utilizando soluções MDM. “Isto permite às empresas impor restrições ao dispositivo e, ao mesmo tempo, assegurar a sua integridade. Um contentor seguro pode ser criado dentro do telefone onde as operações comerciais podem ter lugar e o acesso a certas aplicações e atualizações pode ser controlado mais de perto”, diz Monrad.
Para Bestuzhev, a primeira coisa a fazer é definir políticas que permitam ou neguem a utilização de navegadores aprovados e não aprovados. “Isto pode ser arquivado através de whitelisting e blacklisting, tecnologias de negação por defeito e políticas de diretório ativas – implementadas no ponto final. E se a rede se baseia nas tecnologias Microsoft, então existe uma política granular a implementar desde o diretório até aos pontos finais Edge”.
A este respeito, a educação do utilizador e a consciência dos riscos do navegador na aplicação são também importantes, acrescenta Lowe. “Felizmente, a sensibilização geral foi aumentada sobre este ponto, pelo que podemos esperar algumas mudanças nos mecanismos por detrás dos browsers no futuro. Está definitivamente a ser feito um trabalho para evitar que os criadores possam abusar desta funcionalidade”.