A utilização cada vez mais intensiva dos smartphones no nosso dia a dia, levou a Agência Europeia de Segurança Cibernética(ENISA), a estudar os riscos da sua utilização e a fazer várias recomendações sobre segurança dos dados na utilização destes dispositivos.
Os principais riscos incluem spyware, fraca limpeza de dados quando os telefones são reciclados, perda acidental de dados e chamadas telefónicas não autorizadas de valor acrescentado e SMS.
Os resultados mais importante do relatório são a enumeração dos riscos e a recomendação de um conjunto abrangente de estratégias para manter os smartphones mais seguros.
Os principais riscos incluem spyware, fraca limpeza de dados quando os telefones são reciclados, perda acidental de dados e chamadas telefónicas não autorizadas de valor acrescentado e SMS.
Os resultados mais importante do relatório são a enumeração dos riscos e a recomendação de um conjunto abrangente de estratégias para manter os smartphones mais seguros.
Em resumo, as conclusões são as seguintes:
RISCOS
- Dados perdidos – quando o telefone é perdido e não está protegido com códigos de acesso.
- Transferência imprópria do telefone: quando o telefone deixa de ser utilizado ou é transferido para outro utilizador, sem que todos os dados sejam removidos de forma definitiva.
- Divulgação não intencional de dados: a maioria das aplicações têm definições de privacidade, mas muitos utilizadores não sabem (ou não se lembram) que os dados são transmitidos, e muito menos sabem da existência de configurações para evitar isso.
- Phishing: o invasor recebe as credenciais do utilizador (senhas, por exemplo, números de cartão de crédito), utilizando aplicações ou falsas (sms, e-mail) mensagens que parecem genuínas.
- Spyware: o smartphone tem spyware instalado que permite a um atacante o acesso ou interferência nos dados pessoais. • Ponto de acesso falso: um atacante instala um ponto de acesso malicioso e os utilizadores conectam-se a ele. O atacante posteriormente pode interceptar a comunicação do utilizador.
- Vigilância : espiar (“escutar”) um telefone específico.
- Diallerware : um atacante rouba o dinheiro por meio de malware que faz uso de serviços de valor acrescentado sms ou chamadas , sem que o utilizador se aperceba.
- Malware Financeiro: malware projetado especificamente para roubar números de cartões de crédito, dados bancários on-line ou subverter as transações bancárias on-line ou comércio electrónico.
- Congestionamento da rede: a sobrecarga dos recursos da rede, devido à utilização do smartphone levando a indisponibilidade da rede para o utilizador final.
RECOMENDAÇÕES
O relatório fornece um conjunto detalhado de medidas que podem ser aplicadas para cada risco identificado. As recomendações são estruturadas de acordo com os cenários de uso (consumidor, trabalhador, alto funcionário). Em geral, as recomendações para os consumidores devem ser aplicadas aos empregados e aos altos funcionários. De seguida apresenta-se um resumo das recomendações seleccionadas para cada tipode utilizador:
Consumidores:
- Bloqueio automático: configurar o smartphone de tal forma que ele bloqueia automaticamente após alguns minutos.
- Verifique a reputação: antes de instalar ou usar aplicações novas no smartphone ou serviços, verificar a sua reputação. Nunca instale qualquer software para o dispositivo a menos que seja de uma fonte confiável ou que tenha sido por si solicitado.
- Examine as solicitações de permissão: examinar as solicitações de permissão de uso ou instalação de aplicações ou serviços no smartphone.
- Redefinir e limpar: antes de eliminar ou reciclar os seus telefones, limpe todos os dados e configurações.
Empregados:
- Desmantelamento: antes de ser transferido para outro utilizador ou reciclado, analise cuidadosamente todos os dados que tem no telefone e apague-os de forma definitiva.
- Instalação App: se dados corporativos confidenciais forem manipulado no telefone, ou se a rede corporativa estiver disponível para o smartphone, deve ser definida a lista de aplicações aprovadas (whitelist app) que podem aceder aos dados da empresa.
- Confidencialidade: utilize encriptação de dados para dados em memória do smartphone e dispositivos removíveis.
Altos funcionários:
- Não há dados locais: não armazene dados sensíveis localmente e permitir apenas o acesso online a dados confidenciais a partir de um smartphone que não mantenha dados em cache.
- Software de criptografia: para uso altamente confidenciais, utilize software de encriptação para SMS e chamadas.
- Recarregamento Periódico: os smartphones devem ser periodicamente limpos (utilizando o apagamento seguro) e recarregados com uma imagem de disco, especialmente preparado e testado.
Este resumo foi traduzido e teve como fonte o relatório da ENISA, para ler o relatório na íntegra clique aqui (em inglês).
Sem comentários:
Enviar um comentário