Segurança Mobile

Com a proliferação de dispositivos móveis no ambiente corporativo, proteger aplicativos e dados móveis tornou-se crítico para a segurança organizacional.

Ameaças Mobile

Malware e Spyware

  • Trojans bancários (ex: Cerberus, Anubis)
  • Ransomware mobile
  • Stalkerware e spyware
  • Adware agressivo

Vulnerabilidades de Aplicativos

  • Armazenamento inseguro de dados
  • Comunicação não criptografada
  • Autenticação fraca
  • Code injection e reversing

Ataques de Rede

  • Man-in-the-Middle em WiFi público
  • Rogue access points
  • SSL stripping attacks
  • Phishing via SMS (smishing)

Segurança iOS

Arquitetura de Segurança

  • Secure Boot Chain: Verificação de integridade desde boot
  • Sandboxing: Isolamento de apps
  • Data Protection API: Criptografia de dados em repouso
  • Secure Enclave: Processador dedicado para criptografia
  • App Transport Security: HTTPS obrigatório

Configurações de Segurança

  • Ativar Find My iPhone
  • Usar Touch ID / Face ID
  • Ativar autodestruição após 10 tentativas
  • Desabilitar Siri na tela de bloqueio
  • Atualizações automáticas de iOS

Segurança Android

Modelo de Segurança

  • SELinux: Mandatory Access Control
  • Verified Boot: Integridade do sistema
  • Hardware-backed Keystore: Armazenamento seguro de chaves
  • Sandboxing por UID: Isolamento de processos
  • SafetyNet: Attestation API

Melhores Práticas

  • Usar Android Enterprise (Work Profile)
  • Preferir dispositivos com Android One ou Pixel
  • Instalar apps somente da Play Store
  • Ativar Play Protect
  • Configurar Smart Lock com segurança

Mobile Device Management (MDM)

Funcionalidades Core

  • Device Enrollment: Registro automático de dispositivos
  • Policy Management: Aplicação de políticas de segurança
  • Remote Wipe: Limpeza remota de dados
  • App Distribution: Instalação centralizada de apps
  • Compliance Enforcement: Verificação de conformidade

Soluções Populares

  • Microsoft Intune: Integração com Azure AD e M365
  • VMware Workspace ONE: UEM completo
  • Jamf Pro: Especializado em Apple
  • MobileIron: Enterprise MDM
  • Google Workspace: Android Enterprise management

Mobile Application Management (MAM)

Foco na proteção de dados dentro de apps, não do dispositivo todo.

Capacidades MAM

  • App-level VPN e tunneling
  • Data encryption dentro do app
  • Copy/paste restrictions
  • Screen capture prevention
  • Conditional access baseado em app

BYOD (Bring Your Own Device)

Estratégias de Implementação

  • Work Profile (Android): Separação entre pessoal e corporativo
  • User Enrollment (iOS): Gestão leve para BYOD
  • Containerização: Apps corporativos em container seguro
  • MAM-only: Proteção de apps sem gestão do device

Políticas BYOD

  • Definir tipos de dados permitidos
  • Requisitos mínimos de OS e patches
  • Proibição de jailbreak/root
  • Acordo de uso aceitável
  • Processo de offboarding

Desenvolvimento Seguro de Apps

OWASP Mobile Top 10

  • M1: Improper Platform Usage
  • M2: Insecure Data Storage
  • M3: Insecure Communication
  • M4: Insecure Authentication
  • M5: Insufficient Cryptography
  • M6: Insecure Authorization
  • M7: Client Code Quality
  • M8: Code Tampering
  • M9: Reverse Engineering
  • M10: Extraneous Functionality

Melhores Práticas de Dev

  • Usar Keychain (iOS) e Keystore (Android) para secrets
  • Implementar certificate pinning
  • Ofuscar código sensível
  • Implementar jailbreak/root detection
  • Usar biometria para autenticação
  • Validar todos os inputs
  • Minimizar permissões solicitadas

Mobile Threat Defense (MTD)

Soluções especializadas em detectar ameaças mobile.

Capacidades MTD

  • Detecção de malware e phishing
  • Network threat detection
  • OS vulnerability assessment
  • Behavioral analysis
  • Integration com MDM/UEM

Vendors Principais

  • Lookout: Phishing e malware protection
  • Zimperium: Machine learning threat detection
  • Check Point Harmony Mobile: MTD completo
  • Pradeo: App security e privacy

Ferramentas de Teste

Análise Estática

  • MobSF: Mobile Security Framework open-source
  • QARK: Quick Android Review Kit
  • iMAS: iOS Mobile Application Security

Análise Dinâmica

  • Frida: Dynamic instrumentation toolkit
  • Objection: Runtime mobile exploration
  • Burp Suite Mobile Assistant: Proxy testing

Reverse Engineering

  • jadx: Dex to Java decompiler
  • Ghidra: NSA's reverse engineering tool
  • Hopper: iOS app disassembler

Zero Trust Mobile

  • Device health verification antes de access
  • Continuous authentication e authorization
  • Micro-segmentation de recursos
  • Per-app VPN tunneling
  • Context-aware access policies

Segurança mobile requer abordagem multi-camada combinando MDM/MAM, MTD, desenvolvimento seguro de aplicações e educação de usuários. Com dispositivos móveis sendo cada vez mais o ponto de entrada para redes corporativas, implementar controles robustos e políticas claras é essencial para proteger dados organizacionais enquanto permite produtividade móvel.