Últimas notícias

Fique informado

Entenda os 5 ataques mais comuns a apps de carteira de cripto

8 de agosto de 2023

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Criptoativos: sumiram as chaves, sumiu o dinheiro! A importância da custodia

Criptoativos tem trazido desafios tecnológicos de segurança relevantes na custódia das chaves criptográficas.

2 de maio de 2023

Novos investidores são atraídos para a economia blockchain, como NFTs, tokens e até novas moedas eventualmente lançadas no ecossistema cripto

América Latina é mercado emergente na economia blockchain, mas um recorde de 2,8 bilhões de criptomoedas foram roubadas globalmente em 2022

As criptomoedas impactaram setores inteiros da economia como a tecnologia e as finanças e a adoção de carteiras digitais para guardá-las cresce à medida que novos investidores são atraídos para a economia blockchain e suas possibilidades, como NFTs, tokens e até novas moedas eventualmente lançadas no ecossistema cripto. 

Nesse panorama, a América Latina é uma região chave, pois a relevância dos ativos digitais vem aumentando. Recentemente, o Brasil aprovou a regulamentação do setor criptomoedas, e startups e projetos inovadores de blockchain continuam surgindo.

Até abril deste ano, dados da Receita Federal mostraram que o país registrou um recorde de investidores em criptomoedas, com o número de investidores por CPF e por CNPJ chegando ao maior patamar até então, com 1,99 milhão e 80,2 mil, respectivamente.

No entanto, fraudes e ataques cibernéticos aos apps de carteiras digitais também preocupam os investidores.

Em 2022, um recorde de 3,8 bilhões de criptomoedas foi roubado globalmente, de acordo com um relatório da Chainanalysis.

Levando em consideração o cenário da criptoeconomia e sua relação com a segurança cibernética, a Appdome, o one-stop shop para defesa de aplicativos móveis, junto ao seu especialista em segurança cibernética e Vice-presidente de Produtos de Segurança, Alan Bavosa, explicam os 5 principais ataques direcionados a aplicativos de carteira criptográfica e como combatê-los.

1. Roubar a chave privada armazenada localmente

Existem muitos debates entre os usuários ao escolher hot wallets (oferecem maior conveniência e flexibilidade já que são digitais, mas apresentam maiores riscos de segurança) ou cold wallets (mais seguras porque estão em dispositivos físicos, mas menos convenientes, ao passo que não estão conectadas à rede mundial de computadores e à internet), nesse caso, entre um aplicativo de carteira criptográfica custodial e não custodial.

É possível optar por maior controle sobre senhas ou a conveniência de redefiní-las por meio do provedor de custódia. 

Do ponto de vista da segurança cibernética, o risco é o mesmo, não importa qual carteira é escolhida; eventualmente, a carteira deve se conectar a algo para realizar transações.

Dentro ou como parte de uma transação, a frase secreta ou chaves devem ser usadas e, se houver malware no dispositivo conectado, ele poderá acessá-las.

Dados não criptografados na memória, na caixa de proteção do aplicativo,  no cartão SD ou em áreas externas, como a área de transferência, permitem que os hackers coletem esses dados para seus fins maliciosos.

Para resolver isso, recomendamos a criptografia de dados em repouso, como a forma mínima de proteger os dados armazenados localmente, independentemente de onde eles residam”, diz o especialista em segurança cibernética da Appdome.

2. Coleta de senha ou chave privada

Outra maneira de roubar senhas e chaves de carteiras de criptomoedas é quando o usuário insere as informações nos campos do app.

Do ponto de vista do hacking, existem duas maneiras de realizar tal feito. Uma delas é o malware keylogging, que registra remotamente as teclas digitadas pelo usuário enquanto ele coloca a senha ou a chave no aplicativo da wallet. 

O segundo método consiste em ataques de sobreposição, uma outra forma de malware de identidade que  sobrepõe uma tela (ou usa uma tela falsa) para induzir o usuário a inserir a senha ou chave em uma tela ou campo de entrada malicioso dentro do aplicativo.

3. Ataques dinâmicos contra aplicativos de carteira criptográfica

Devido à dependência transacional entre o usuário mobile e o blockchain em aplicativos de carteira criptográfica, a integridade da plataforma usada para executar o aplicativo é extremamente importante para proteger os usuários.

Os métodos padrão de jailbreak (usados para adulterar dispositivos e adicionar funcionalidades não oficiais), suas ferramentas e ocultação de root podem ser usados sozinhos ou em combinação com malware para interferir, coletar ou registrar eventos entre o aplicativo e os serviços externos.

Mesmo as ferramentas de teste de penetração podem ser usadas para instrumentar, capturar e ativar funcionalidades em um aplicativo criptográfico para todos os tipos de propósitos maliciosos, incluindo obter acesso ao endereço blockchain do aplicativo cliente (armazena e recupera dados localmente ao invés de remotamente), senhas ou até personificar tal aplicativo cliente.

Os desenvolvedores de carteiras criptográficas podem impedir que os apps sejam executados em um dispositivo com jailbreak ou com root e se prevenir contra ferramentas dinâmicas de hackers para proteger os usuários e garantir a integridade das funções críticas do aplicativo. As melhores práticas também sugerem que o desenvolvedor do aplicativo use ofuscação de código abrangente para tornar mais difícil para o invasor pesquisar o aplicativo”, explica Bavosa.

4. Ataques MiTM aos apps de cripto

A maioria dos blockchains possui trocas descentralizadas conhecidas como “dApps”, que são criadas pelas comunidades de desenvolvedores.

E se o dApp for malicioso ou conter vulnerabilidades contra uma carteira para criar conexões não seguras com o aplicativo de destino? A comunicação entre cliente e “servidor” ou peer-to-peer pode abrir brecha para ameaças, como ataques MiTM (Man-in-the-Middle), ataques TCP Reset, ataques de trojan e outros. 

Os dados em trânsito usados pelos aplicativos de cripto são críticos para o valor da criptomoeda no aplicativo de carteira do cliente.

Tudo, desde transações, valores e senhas, é incluído nesta comunicação. Para se prevenir contra esse cenário, os desenvolvedores de aplicativos das wallets devem considerar uma defesa holística do tipo Man-in-the-Middle, recomenda Bavosa. 

5. Usar ferramentas de desenvolvimento como ADB contra aplicativos de carteiras

Versões modificadas de aplicativos de carteira criptográfica usados com emuladores, simuladores ou malware no dispositivo podem ser usados por hackers para criar contas falsas, realizar negociações maliciosas ou transferir criptomoeda de um aplicativo de carteira para outro.

Para combater esse tipo de ataque, recomendamos a implementação de métodos de autoproteção de aplicativo em tempo de execução (RASP), particularmente anti-adulteração, anti-depuração e prevenção de proteções do emulador”, conclui Bavosa, da Appdome.

Sobre a Appdome

Appdome, o one-stop shop para defesa de aplicativos móveis, está em uma missão para proteger todos os aplicativos móveis do mundo e as pessoas que usam aplicativos móveis em suas vidas e no trabalho.

A Appdome fornece a única plataforma de automação de defesa cibernética para aplicativos móveis do setor, equipada com mecanismo de codificação baseado em inteligência artificial patenteado, Threat-Events™ Threat-Aware UX/UI Control e ThreatScope™ Mobile XDR.

Usando a Appdome, as marcas móveis eliminam a complexidade, economizam dinheiro e oferecem mais de 300 certificados de segurança de aplicativos móveis Secure™, antimalware, antifraude, antibot móvel, antitrapaça, prevenção de ataque MiTM, ofuscação de código e outras proteções no Android e aplicativos iOS com facilidade, dentro do DevOps móvel e do pipeline de CI/CD.

As principais marcas financeiras, de saúde, governamentais e de comércio eletrônico usam o Appdome para proteger aplicativos Android e iOS, clientes móveis e negócios móveis em todo o mundo.

A Appdome detém várias patentes, incluindo as patentes dos EUA 9.934.017 B2, 10.310.870 B2, 10.606.582 B2, 11.243.748 B2 e 11.294.663 B2. Patentes adicionais pendentes.

Importância, cuidados e benefícios que chegam com o histórico Marco Regulatório dos Criptoativos

DINAMO Networks apresenta como as instituições financeiras devem fazer para manter seus dados críticos seguros

Nubank Cripto integra tecnologia Fireblocks para expandir soluções em blockchain 

Nova era das ferramentas inteligentes de automação para cripto ajudam os investidores

Acompanhe também artigos sobre Criptoativos aqui no Crypto ID.

O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!

Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.

Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!