No mês passado, o NowSecure lançou Privacidade agora seguraa primeira solução automatizada para encontrar e corrigir pontos cegos sistêmicos que degradam a privacidade de aplicativos móveis. E hoje, nós lançado Verificador de risco de aplicativos móveis NowSecure (MARC)o primeiro e único verificador de risco público gratuito para aplicativos móveis.
A ferramenta MARC gratuita e educacional aumenta a conscientização sobre segurança móvel, ajudando as equipes de TI e de segurança a entender de onde vêm os riscos de segurança e privacidade de aplicativos móveis. O MARC contém dados de teste de primeira linha para milhares de aplicativos móveis que esclarecem como os recursos exclusivos disponíveis para aplicativos móveis podem expor dados confidenciais, criando riscos à segurança e à privacidade.
Liderando a comunidade de segurança móvel
NowSecure apoia ativamente a comunidade de segurança através de contribuições de liderança para ferramentas de código aberto Frida e Radare para o OWASP Padrão de verificação de segurança de aplicativos móveis (MASVS). Com base nessa base, criamos o serviço MARC para esclarecer onde os riscos realmente se originam nos aplicativos móveis.
Manchetes recentes e um onda de novas regulamentações de privacidade de dados destacam uma verdade crítica: o risco das aplicações móveis é um risco comercial. Desenvolvemos o MARC para fornecer aos líderes de TI e de negócios uma visão instantânea de como o risco móvel contribui para a postura geral de risco de segurança e privacidade de uma organização.
Como uma ferramenta gratuita, o MARC capacita o mundo a descobrir riscos ocultos em aplicativos móveis, avançando nossa missão de proteger os aplicativos nos quais as pessoas confiam todos os dias.
– David Weinstein, diretor de tecnologia da NowSecure
Como o MARC ajuda a TI e a segurança a aumentar a conscientização
MARC oferece aos líderes de risco, segurança e privacidade de TI:
- Uma linha de base neutra de terceiros para acelerar a compreensão dos comportamentos dos aplicativos móveis e dos riscos potenciais.
- Uma verificação imediata para determinar se um aplicativo interno ou de terceiros garante testes mais profundos de segurança e privacidade.
- Uma forma de avaliar aplicativos fora do controle direto, incluindo aplicativos pessoais, de parceiros ou outros aplicativos de terceiros usados por funcionários.
- Um catalisador para a ação, ajudando as equipes a desenvolver um gerenciamento de risco de aplicativos móveis estratégia e programa para responder às preocupações.
Cinco áreas principais de risco de aplicativos móveis
O MARC fornece uma visão clara das propriedades observadas do aplicativo e descobertas detalhadas em cinco áreas principais de risco do aplicativo:
- Permissões: Permissões mal gerenciadas ou excessivas pode conceder acesso desnecessário a dados confidenciais e recursos do dispositivo, aumentando o risco de abuso ou comprometimento.
- Coleta e compartilhamento de dados confidenciais: Práticas inadequadas de tratamento de dados podem expor empresas, clientes e parceiros a violações de dados e de conformidade.
- Declarações de privacidade: Muitos aplicativos fornecem divulgações incompletas ou imprecisas nas lojas de aplicativos da Apple e do Google, deixando os usuários inconscientes sobre quais dados confidenciais são coletados, processados ou compartilhados.
- Conexões de rede: Conexões não controladas a servidores externos podem transmitir dados comerciais confidenciais a terceiros não autorizados, resultando em exposição de dados, não conformidade e danos à reputação.
- IA: Os recursos alimentados por IA podem processar dados confidenciais de maneiras não intencionais, aumentando a probabilidade de vazamento de informações proprietárias e responsabilidade legal.
Os riscos ocultos nos aplicativos móveis
Uma preocupação particularmente significativa — e que motivou o desenvolvimento de ambos Privacidade agora segura e MARC — é o uso generalizado de componentes de terceiros no desenvolvimento de aplicativos móveis. Esses componentes geralmente contêm fluxos de dados ocultos que podem expor involuntariamente as organizações ao roubo de dados, vazamento de dados, perda e violações de privacidade.
Para agravar o desafio, o código compilado do aplicativo é facilmente acessível nas lojas de aplicativos, proporcionando aos agentes de ameaças oportunidades de analisar e explorar vulnerabilidades.
Observações recentes do MARC destacam o quão comuns são esses riscos ocultos de segurança e privacidade em aplicativos móveis modernos:
- 27% dos aplicativos testados pelo MARC continham artefatos de IA, sinalizando um risco aumentado de vazamentos de dados para endpoints de IA, modelos de treinamento ou serviços de IA de terceiros.
- Aproximadamente 49% conexões de rede estabelecidas – geralmente de terceiros SDKs ou APIs — que possam transmitir informações sensíveis.
- 85% informações de identificação pessoal (PII) expostas, ressaltando a frequência com que os aplicativos móveis lidam com dados confidenciais.
Esses padrões não são incidentes isolados. Eles aparecem em aplicativos de negócios populares, que podem vazar dados inadvertidamente, deturpar comportamentos e criar riscos invisíveis. À medida que a IA agente se torna profundamente integrada no ecossistema móvel, estes riscos de segurança e privacidade móvel tendem a aumentar.
Interpretando Observações MARC com Responsabilidade
Isenção de responsabilidade: as descobertas do MARC não categorizam inerentemente um aplicativo como de alto ou baixo risco. A determinação do risco deve ser feita pelo usuário, considerando a criticidade da aplicação, as informações que ela coleta, armazena e compartilha e as obrigações do desenvolvedor. Além disso, apenas informações e recursos disponíveis publicamente foram utilizados para gerar estes resultados; e nenhum dado do cliente foi empregado neste teste.
Resumindo: o risco de aplicativos móveis é um risco comercial
A postura de segurança e privacidade dos aplicativos móveis impacta diretamente o risco comercial de uma empresa. Ao examinar as informações do MARC, os líderes podem compreender melhor como os comportamentos dos aplicativos móveis influenciam quatro dimensões principais do risco empresarial.
Risco de segurança
Práticas de desenvolvimento inadequadas criam vulnerabilidades exploráveis em aplicativos móveis:
- 75% incluem símbolos de depuração
- 68% expõem URLs codificados
- 60% usam criptografia fraca
Como os SDKs de terceiros geralmente representam de 60 a 80% do código do aplicativo, eles podem introduzir dependências desconhecidas, falhas não corrigidas e riscos de segurança ocultos que os invasores podem explorar.
Risco de privacidade
Embora os usuários raramente leiam as políticas de privacidade, os reguladores as examinam incansavelmente. Muitos aplicativos móveis manipulam ou deturpam as práticas de coleta de dados, introduzindo riscos significativos à privacidade:
- 77% contêm PII incorporadas, como localização, contatos ou identificadores exclusivos
- 35% dos aplicativos iOS não declaram os dados coletados
- 98% incluem divulgações incompletas de SDK de terceiros
- 18,3% dos aplicativos usam IA, com 3.541 transmitindo dados para endpoints de IA, expondo potencialmente modelos proprietários e informações confidenciais
Risco de segurança e fraude
Permissões mal utilizadas, como SMS, contatos, câmera e localização, podem permitir roubo de identidade, phishing ou controle de conta.
- Quase 49% dos aplicativos testados pelo MARC se conectam a rastreadores de terceiros
- 85% contêm informações de identificação pessoal (PII), aumentando o risco de fraude e abuso.
Por exemplo, um aplicativo que solicita localização contínua em segundo plano, microfone e acesso ao armazenamento externo pode permitir rastreamento em tempo real, captura de áudio e extração de arquivos. Combinadas, essas permissões criam privacidade, segurança, segurança e risco de conformidade se dados ou movimentos pessoais forem usados indevidamente ou expostos.
Conformidade e risco regulatório
Quando os aplicativos se comportam de maneira diferente das políticas declaradas divulgadas — por exemplo, alegando “não coletamos contatos” enquanto realmente o fazem — as organizações enfrentam sérios riscos regulatórios e de conformidade: multas, ações regulatórias e falhas de auditoria.
- 42% dos aplicativos iOS não possuem manifestos de privacidade obrigatórios
- 97% não possuem manifestos para SDKs de terceiros
Em setores regulamentados como (saúde, finanças e, aplicativos infantis), a não conformidade com GDPR, CCPA ou HIPAA pode desencadear penalidades multimilionárias antes mesmo de começar o dano à reputação.
Ações recomendadas: como aproveitar as observações MARC
Para fortalecer a conscientização sobre segurança móvel e melhorar a compreensão risco de aplicativos móveisas organizações devem
- Investigar aplicativos internos e de terceiros com MARC.
- Comparar observou permissões, fluxos de dados e endpoints de rede em relação aos comportamentos esperados, sinalizando anomalias para uma revisão mais profunda.
- Colabore entre Equipes de AppSec, DevSecOps, privacidade, conformidade e gerenciamento de riscos para avaliar o impacto nos negócios.
- Priorizar ações baseadas no impacto nos negócios, especialmente para aplicativos que lidam com dados regulamentados, funções críticas ou grandes bases de usuários.
- Monitor continuamente realizando revisões regulares, após atualizações ou novos lançamentos.
- Fortalecer proteções com Plataforma NowSecure para contínuo testes de segurança de aplicativos móveis e gerenciamento de riscos.
Passar apenas alguns minutos com os insights do MARC oferece visibilidade sobre comportamentos de aplicativos móveis e fontes de risco que provarão ser um investimento valioso. Nas salas de reuniões, durante auditorias e na percepção do público, o risco dos aplicativos móveis agora é um risco comercial. As organizações com visão de futuro devem reconhecer, mapear e gerir este risco com a mesma urgência aplicada à segurança de aplicações web e na nuvem.
