Segurança de Dispositivos Móveis
UTILIZAÇÃO DE QUAIS OS RISCOS DE
DISPOSITI VOS
A utilização de smartphones e tablets está cada vez
mais generalizada em qualquer ambiente, seja fami-
liar, social ou profissional. Neste sentido, importa ava-
liar as características destes dispositivos para com-
preender as suas vulnerabilidades.
São de destacar as seguintes características:
- Vários sensores (ex. GPS, altímetro, giroscópio,
acelerómetro, microfone, câmara);
- Possibilidade de comunicação sem fios;
- Grande capacidade de armazenamento;
- Alta performance que permite o uso de aplicações
complexas;
- Câmaras fotográficas.
Estes dispositivos permitem que o utilizador contacte
e seja contactado por voz, por email, através aplica-
ções instaladas, podendo ainda navegar na Internet
para entretenimento ou realizar tarefas profissionais.
No entanto, as atuais soluções de segurança são ine-
ficazes no fornecimento de uma adequada proteção
dos dados pessoais e profissionais. Além disso, as
vulnerabilidades que surgem nos sistemas de informa-
ção das organizações são frequentemente mal inter-
pretados.
Os utilizadores dos dispositivos móveis devem procu-
rar estar conscientes sobre os principais riscos de se-
gurança e aplicar as boas práticas de segurança para
reduzir, de forma significativa, os riscos.
SEGURANÇA?
Os dados armazenados nos dispositivos móveis
que são registados de forma voluntária (ex. emails,
calendário, contactos, fotografias, documentos,
SMS) ou involuntariamente (ex. cache do navega-
dor, sequência de dados históricos e baseados em
localização), podem ser sensíveis.
O mesmo ocorre com a segurança de códigos, pa-
lavras-chave e certificados que podem ser utiliza-
dos, de forma indireta, para acesso ao sistema de
informação profissional. Em particular, existe a ten-
dência dos utilizadores recorrerem ao uso da
mesma palavras-chave para acesso a diferentes
plataformas e serviços. Esta questão levanta preocu-
pações com o armazenamento de palavras-chave
num smartphone ou computador portátil, palavras-
chave que podem dar acesso a serviços sensíveis.
O risco de divulgação de informações armazenadas
em dispositivos móveis sempre foi significativo mas,
atualmente, o risco é elevado devido aos múltiplos
recursos disponibilizados pelos smartphones ou ta-
blets.
O contexto deve ser tido em consideração aquando
do uso de dispositivos móveis com acesso a docu-
mentação pessoal ou profissional. Por exemplo, um
hacker pode procurar atacar uma organização atra-
vés de um sistema de informação utilizando como
porta de entrada um dispositivo móvel. Isto acon-
tece devido ao grande número de vulnerabilidades
que os sistemas operativos móveis (ex. Android,
iOS, Windows Phone, Symbian OS, MeeGo, Bada,
RIM, WebOS, WinCE, Palm OS) apresentam, mas
também devido aos comportamentos dos utilizado-
res.
[2]
 RECOMENDAÇÕES DE
SEGURANÇA
É fundamental implementar algumas recomendações
para garantir uma melhor utilização dos dispositivos
móveis em ambiente organizacional. Em qualquer
caso, é um engano esperar atingir um nível de segu-
rança elevado com um smartphone ou um tablet, in-
dependentemente dos cuidados tidos na configura-
ção dos mesmos. As recomendações apresentadas
pretendem apenas proteger, da melhor forma possí-
vel, os dados armazenados nos dispositivos móveis
contra ataques exteriores. Existem soluções de ges-
tão de dispositivos móveis com perfis de segurança
criados a partir de um ponto central para permitir mu-
danças rápidas e em grande escala. Naturalmente
não será viável para todos os tipos de dispositivos e
as soluções de gestão de “grupo” devem ser avalia-
das em função dos dispositivos em utilização. A se-
gurança deve ser considerada durante todo o ciclo de
vida do dispositivo: a escolha do dispositivo seguro; o
sistema de um dispositivo deve ser protegido antes
da entrega ao utilizador, a manutenção das condições
de segurança para o conjunto de dispositivos (atuali-
zações de segurança), controlo dos dados e redefini-
ção do dispositivo antes de qualquer formatação, des-
truição ou entrega a terceiros.
CONTROLO DE ACESSO
Para o controlo de acesso é necessário:
- Definir uma password com um prazo de validade para
a password;
- Definir o bloqueio automático do dispositivo após
alguns minutos de atividade;
- Utilizar uma password muito forte em substituição
dos métodos de desbloqueio padrão, caso o disposi-
tivo tenha informação sensível ou, de preferência, du-
plo fator de autenticação;
- Limitar o número de tentativas de desbloqueio.
SISTEMA OPERATIVO
O sistema operativo deve ser atualizado de forma re-
gular e automática e incorporar as atualizações de se-
gurança mais recentes. Qualquer dispositivo que não
permita mais mudanças de suporte no sistema ope-
rativo deve ser substituído.
SEGURANÇA DAS APLICAÇÕES
- Não instalar aplicações que não estejam explicita-
mente autorizadas pela organização.
- As aplicações instaladas devem ser objeto de uma
avaliação prévia e devem ter autorização de insta-
lação. Essa análise inclui a avaliação do nível de se-
gurança das aplicações com base em informação
pública (permissões relevantes, reputação, vulnera-
bilidades publicadas, avaliações de segurança,
etc.) e, se possível, ser objeto de auditoria. Caso se-
jam desnecessárias, as aplicações pré-instaladas
devem ser desinstaladas.
- As aplicações instaladas devem ter as permissões
necessárias apenas para as funções a que se des-
tinam, quer para o acesso aos dados ou à Internet,
mas também para controlo. As permissões concedi-
das devem ser verificadas com uma periodicidade
mensal tanto a nível de instalação como de configu-
ração, de modo a garantir que não tiveram modifica-
ções.
- As aplicações de acesso ao serviço de geolocaliza-
ção devem ser proibidas ou bloqueadas sempre que
as atividades do utilizador não estejam relacionadas
com a sua posição geográfica. Se esta opção não
estiver disponível no dispositivo, deve ser desligado
o serviço de localização.
- As aplicações instaladas devem ter perfis de segu-
rança adequados (ex. sobre o navegador web e o
cliente de email), no âmbito das políticas de segu-
rança implementadas pela organização.
- As aplicações instaladas devem ser atualizadas
rapidamente e regularmente logo que as atualiza-
ções de segurança sejam disponibilizadas.
DADOS E COMUNICAÇÕES
- As ligações sem fios (Bluetooth e WiFi) e sem con-
tacto (NFC) devem ser desativadas quando não es-
tiverem a ser utilizadas.
- Desativar a associação automática com os pontos
de acesso Wi-Fi configurados no terminal, para man-
ter o controlo sobre a ativação da ligação sem fios.
- Evitar a ligação a redes sem fios desconhecidas e
que não sejam de confiança.
- O armazenamento removível e o armazenamento
interno deve ser cifrado através de uma solução de
criptografia forte.
- Qualquer troca de informação sensível deve ser
feita através de um canal cifrado para garantir a con-
fidencialidade e a integridade dos dados de ponto a
ponto.
[3]
 POLÍTICA BYOD PERDA DE DISPOSITIVO

A coexistência de utilização profissional e pessoal no
mesmo dispositivo deve ser cuidadosamente avali-
ada. A política de Bring your on Device (BYOD) deve
ser tida em consideração aquando da utilização de
dispositivos pessoais dentro da organização.
Se o uso de um único smartphone para ambos os
contextos não pode ser evitado e depende da sensi-
bilidade dos dados que são processados pelo tele-
fone, é necessária a implementação de soluções de-
dicadas para segmentar cada ambiente (pessoal, or-
ganizacional).
O atacante pode facilmente aceder aos dados con-
fidenciais que estão armazenados nos dispositivos,
caso o utilizador não tenha tido o devido cuidado
nem adotado as medidas básicas de segurança.
Através de cifra de dados é possível reduzir signifi-
cativamente o risco de acesso a essas informações.
Deve-se também considerar a possibilidade de ati-
var o modo de apagar remotamente os dados dos
dispositivos.
APLICAÇÕES M ALICI OSAS

FALHAS NAS APLICAÇÕES

Atualmente, existem aplicações que podem execu-
tar operações que não se enquadram na sua função
Os sistemas operativos de dispositivos móveis têm primordial e os utilizadores além de não serem ex-
vulnerabilidades e permitem o acesso a camadas in- plicitamente informados, também não têm conheci-
feriores do sistema e pode-se adicionar backdoors ou mento disso. Muitas vezes estas aplicações contém
interceção de códigos de portas. Estas vulnerabilida- serviços atrativos e gratuitos.
des são muitas vezes exploradas por meio de aplica- Deve existir um controlo das aplicações instaladas,
ções ou diretamente através de terminais (ex. USB, porque um atacante pode criar/desenvolver uma
placa de rede WiFi ou Bluetooth). Um atacante pode, aplicação e posteriormente pode distribuir a aplica-
de forma discreta, ter o controlo total do terminal para ção para terceiros. Uma aplicação segura tem de vir
intercetar todos os dados ou para ativar o equipa- de uma fonte confiável e legítima.
mento de vídeo e de voz.
Os terminais que estejam desbloqueados expõem o
utilizador e dificultam a implementação de atualiza-
ções de segurança. Os sistemas alternativos disponi-
bilizados para alguns dispositivos não são recomen-
dados devido à sua qualidade, dificuldade de avalia-
ção e falta de informação sobre a sua segurança. No
entanto, as aplicações legítimas e confiáveis também
podem ter vulnerabilidades.
Os sistemas operativos de postos de trabalho, aplica-
ções, ficheiros ou a própria navegação na web são
muitas vezes afetados. Devem ser definidos perfis de
configurações de segurança adaptados ao utilizador
e sem possibilidade de edição. Além disso, muitas
aplicações que estão disponíveis para dispositivos
móveis não têm qualidade recomendada. As aplica-
ções que, muitas vezes, não são conhecidas apre-
sentam vulnerabilidades significativas.

Esteja cibersegur@.

[4]
O presente conteúdo é propriedade do Centro Nacional de Cibersegurança estando protegido nos
termos da legislação de propriedade intelectual aplicável. O utilizador pode copiar, importar ou usar
gratuitamente parte ou a totalidade da informação, para uso pessoal ou público, desde que não
tenha finalidades lucrativas ou ofensivas e seja referida a fonte de informação.

[5]