Pressione enter para ver os resultados ou esc para cancelar.

Segurança Mobile no desenvolvimento de apps: Permissões de acesso

A segurança no desenvolvimento de apps é uma das questões que preocupa a maioria dos Developers. Da mesma forma, também é muito importante para os clientes de aplicativos e usuários. Ao fazer o download de um aplicativo, basta pensar em quantas permissões você é solicitado para que se acesse o conteúdo do seu telefone: fotos, contatos, dados, conexões, etc.

A verdade é que – ao contrário de desktops ou portáteis – aplicativos móveis disfrutam de um acesso muito limitado ao conteúdo do nosso dispositivo. As apps vão acessar tudo o que lhes permitiu aceder ao configurar suas configurações. No entanto, não prestar atenção às exigências de um aplicativo é um erro comum.

As permissões de acesso são muitas vezes completamente justificadas no desenvolvimento de apps para Android e iOS. No entanto, às vezes elas não o são. Isso significa que – por um lado – o usuário deve prestar atenção a essas permissões e – por outro lado – o developer deve ser conduzido pela ética e apenas solicitar o acesso ao estritamente necessário, como discutimos no nosso guia sobre como criar um aplicativo bem sucedido.

desenvolvimento de apps

As permissões de acesso vão sempre depender do aplicativo. Por exemplo, aplicativos de comida e restaurantes que procuram o restaurante mais próximo da sua localização actual exigirá ser capaz de aceder ao GPS do seu dispositivo. O aplicativo não funcionará sem esta permissão de acesso, ou pelo menos não vai o vai fazer corretamente. A seguir estão algumas das permissões mais comuns:

  • Contatos
  • Telefonemas
  • Fotos, vídeos e áudios
  • ID e os dados do dispositivo
  • Mensagens de texto
  • Wi-fi
  • Contas

Alguns aplicativos podem precisar de permissões de acesso adicionais. Vamos ver as implicações exatas de permitir o acesso a certas partes do nosso dispositivo Android, ou seja, os riscos associados a cada tipo de permissão de acesso e o seu âmbito.

Por exemplo, permitir a uma app o acesso às mensagens de texto implica que lhe permita enviar mensagens, além de lê-las. Isto pode traduzir-se em um aumento da conta de serviço telefónico no final do mês se essa aplicação começa a enviar mensagens sem que você se aperceba disso. No entanto, quando usado corretamente, a sua finalidade é confirmar IDs e, assim, desfrutar de aplicações mais seguras.

Desenvolvimento de apps seguro: Está a privacidade em perigo?

Há outros aspectos a serem considerados  para além de seu processo de desenvolvimento para um aplicativo ser considerada seguro, ou seja, não é apenas o seu código que é levado em consideração. Também depende do usuário, que aceita ou rejeita as políticas de privacidade de cada aplicativo.

Por exemplo, de acordo com um estudo recente realizado pela Quental – uma empresa de serviços e soluções tecnológicas -, pelo menos, 61,3% dos aplicativos móveis mais baixados estão em conformidade com o quadro jurídico aplicável e possuem uma política de privacidade que rege o uso e processamento da dados pessoais do usuário final.

Tal como acontece com as redes sociais, a resposta dependerá sempre, em última instância sobre nós. Se você não quer que ninguém veja algo que você está postando em uma rede social, basta restringir-se de publicá-lo ou verificar a privacidade da sua conta. As opções disponíveis pode ser um pouco mais apertadas quando se trata de aplicativos, mas tudo se resume à mesma coisa: simplesmente não baixar um aplicativo cujas permissões de acesso não lhe interessam partilhar. Você não pode permitir certas permissões e negar outras; o aplicativo não funcionará corretamente se você limitar suas permissões de acesso e vai acabar não fazendo o que é suposto.

No entanto, podemos ter problemas ao conceder acesso total a um aplicativo. A nossa informação mais sensível (fotos, vídeos, senhas, chats, dados bancários, etc.) pode ser exposta se a um aplicativo é permitido enviar e publicar conteúdo se tem acesso aos nossos dados pessoais e informações.

Como posso proteger-me?

Como já mencionado, a solução mais radical consiste em não baixar o app se você não deseja conceder estas permissões a terceiros. Atualmente existem muitos aplicativos no mercado, por isso é muito provável que você seja capaz de encontrar um aplicativo semelhante que requer menos permissões de acesso.

Outra opção é limitar o acesso dos aplicativos que você já tenha instalado no painel de configurações. No entanto, essas permissões não podem ser sempre revogadas, uma vez que afectam o funcionamento do aplicativo.

Desenvolvimento de apps

A última opção disponível para aplicativos Android é um aplicativo chamado App Ops. Este é um aplicativo especializado em revogar as permissões de acesso. É uma ferramenta primordial para aqueles que dão uma grande importância à sua vida privada ou aqueles que têm abundância de informações sensíveis em seus dispositivos móveis.

Pode muito bem ser o oposto para iOS. Quando um aplicativo requer uma permissão de acesso que você não tenha concedido, um pop-up aparece lembrando que o aplicativo precisa de tal permissão ou que essa permissão já foi concedida. Funciona muito bem como um método de firewall para proteger sua privacidade, apesar de poder ser desconfortável por vezes.

O objetivo deste acesso ao sistema de permissões permite entregar o controle de privacidade do desenvolvedor do aplicativo para os usuários do aplicativo.

Então, o que pode fazer um developer de apps?

De acordo com um estudo realizado pela Universidade de Valladolid sobre segurança de apps e  sua privacidade ,“ os desenvolvedores, em sua ânsia de publicar seus aplicativos antes de seus rivais, certos aspectos de negligência que devem ser levados em conta – especialmente a privacidade e segurança dos dados processados pelo o aplicativo.”

Aplicações de saúde são um bom exemplo para ver a importância das consequências que tal negligência pode trazer, visto que lidam com dados pessoais e confidenciais de centenas de pacientes. A Universidade de Valladolid sugere uma série de “melhores práticas” para os programadores. Borja Martínez, pesquisador do Grupo de Telemedicina e eHealth na Universidade de Valladolid, establece  – um guia que é especialmente concebido para especialistas em programação de aplicativo de saúde – as seguintes recomendações, que são igualmente válidas para qualquer tipo de programação app:

  • Controlo de acesso: centrado no usuário, ou seja, há sempre a possibilidade de permitir ou negar o acesso à informação do utilizador.
  • Autenticação: por meio de um ID único e uma senha conhecida apenas pelo usuário.
  • Segurança e não-divulgação: fazendo uso de AES (Advanced Encryption Standard) com uma senha criptografada de – pelo menos – 128 bits é altamente recomendado para garantir a segurança.
  • Integridade: um código de autenticação baseado em criptografia de senha simétrica (como AES) deve ser usado.
  • Informação dos utilizadores: antes de coletar qualquer informação, todos os aplicativos devem estender uma clara política de privacidade a seus usuários que identifica quem estará usando os dados, a finalidade dos mesmos, as práticas de privacidade em vigor, os direitos do utilizador e uma forma de contato com o desenvolvedor.
  • Transferência de dados: aplicativos devem usar TLS (Transport Layer Security) com métodos de criptografia de 128 bits ou redes privadas virtuais.
  • Retenção de dados: todos os dados só devem ser armazenados durante o período de tempo necessário para cumprir com o propósito declarado de seu armazenamento e não por mais tempo.
  • Comunicação com wearables: métodos de criptografia deve ser usado durante a comunicação com wearables para fins de autenticação de dispositivo e distribuição de senha.
  • Alertas de falhas de segurança: em caso de uma falha de segurança, os desenvolvedores devem notificar as autoridades competentes e os usuários o mais rápido possível e deve ajudar o último minimizar os danos causados por essa mesma falha.

profissionais certificados

Comentários

Comentários estão desabilitados para este post