Como criar um ambiente seguro de execução para aplicativos móveis bancários

 A revisada Diretiva de Pagamentos de Serviços, também conhecida como PSD2, dedica muita atenção à segurança dos aplicativos para mobile banking, aplicativos móveis para pagamentos, carteiras móveis e outros aplicativos que oferecem funcionalidades ligadas a pagamentos.

Frederik Mennes

Por Frederik Mennes, gerente sênior do Centro de Competência em Segurança da OneSpan

Essa versão atual da regulamentação determina que os bancos precisam empregar ambientes seguros de execução para proteção dos aplicativos móveis. Todavia, não está definido o que realmente é um ambiente seguro de execução ou como ele deve ser implementado.

Então, passa ser fundamental definir corretamente o que é um ambiente seguro de execução ou secure execution environment (SEE): é um ambiente integralmente protegido, abrangendo capacidades de processamento, memória e armazenamento.

Como ele é isolado do ambiente “normal” de processamento do dispositivo móvel, isso garante que os aplicativos móveis possam ser executados sem interferência dos outros processos ou aplicativos móveis maliciosos, como malware que possam estar residentes no mesmo aparelho.

Em uma definição mais pragmática, esse ambiente seguro é o que proporciona proteção contra ataques conhecidos dirigidos aos aplicativos móveis. Essa definição leva em conta as ameaças que os bancos enfrentam hoje e um ambiente seguro é aquele que oferece proteção contra esses ataques. Trata-se de um ambiente em constante desenvolvimento.

Entre as principais ameaças que os aplicativos móveis dos bancos enfrentam estão o uso páginas falsas replicando a janela original do aplicativo, permitindo a captura pelos criminosos de credenciais bancárias como nome do usuário e senha de acesso. Famílias de programas maliciosos para Android como Marcher e BankBot são exemplos de ataques desse tipo.

Mas como criar um ambiente seguro de execução?

Nossa recomendação é o emprego de tecnologias de blindagem, também conhecidas como Runtime Application Self-Protection (RASP), que protege o aplicativo móvel contra diversos tipos de ameaças em tempo real. Ela cria um ambiente virtual seguro de execução para o aplicativo, permitindo que ele seja executado mesmo em dispositivos móveis não confiáveis.

Essa blindagem protege os aplicativos empregando uma combinação de diferentes abordagens como prevenção, detecção e reação aos ataques. Isso previne ataques em tempo real, impedindo, por exemplo, que o código malicioso faça engenharia reversa.

A tecnologia RASP detecta tentativas de fraudes com o aplicativo e impede que ele rode dentro de um ambiente falso. Ela também reage a ataques de diferentes modos, alertando o servidor do banco sobre a ameaça ou mesmo desligando o aplicativo.

Vasco agora é OneSpan e lança plataforma com Autenticação por Inteligência Adaptativa