Hora de rever a segurança das aplicações de mensagens

A maioria das organizações não tem uma política formal sobre como as aplicações de mensagens podem ser utilizadas, mas na sequência de uma decisão recente tomada pelo administrador-chefe da Câmara dos Representantes dos EUA, podem querer reconsiderar.

Um memorando enviado na semana passada informou aos funcionários do congresso que o serviço de mensagens WhatsApp foi banido de todos os dispositivos da Câmara dos Representantes dos EUA. O aviso dizia que o “Gabinete de Cibersegurança considerou o WhatsApp um risco elevado para os utilizadores devido à falta de transparência na forma como protege os dados dos utilizadores, ausência de encriptação de dados armazenados e potenciais riscos de segurança envolvidos na sua utilização.”

O memorando não explica o que a falta de transparência realmente significa, mas no início deste ano um funcionário do WhatsApp disse que a empresa israelita de spyware Paragon Solutions havia alvo a sua base de utilizadores, que inclui muitos funcionários do governo. Em vez disso, o memorando recomenda o uso de outras aplicações de mensagens, incluindo Microsoft Teams, Apple FaceTime e Signals.

Não está claro quão amplamente estas e outras aplicações, como o Discord, estão a ser utilizadas nos ambientes corporativos, mas muitos utilizadores finais assumem que existe um nível de segurança que pode não ser tão robusto quanto acreditam.

Potenciais preocupações de segurança e vulnerabilidades

Spyware num telemóvel pode monitorizar e recolher informações sobre as atividades do utilizador sem o seu conhecimento, incluindo o histórico de chamadas, mensagens de texto, localização e atividade de navegação, além de gravar áudio e vídeo. Pode ser instalado através de aplicações maliciosas, phishing links ou explorando vulnerabilidades no sistema operativo de um dispositivo móvel.

É até possível agora explorar componentes de navegador incorporados e mecanismos de análise de URL para executar código remoto sem exigir qualquer interação do utilizador além de receber a mensagem, de acordo com uma pesquisa recente partilhada pelo instituto DARKNAVY.

Tão preocupante quanto, é relativamente fácil para os utilizadores finais destas aplicações divulgarem inadvertidamente dados sensíveis, como o agora infame convite para um chat no Signal que foi enviado por engano a um jornalista por funcionários do Departamento de Defesa (DoD).

Educar os líderes empresariais sobre os riscos

As equipas de cibersegurança, naturalmente, têm alertado sobre os perigos da shadow IT desde que qualquer pessoa se lembra. Nos dias de hoje, no entanto, nunca foi tão simples para os utilizadores finais configurarem chats de grupo em qualquer número de serviços, alguns dos quais nem sequer são encriptados.

Além de proibir a utilização destas aplicações para discutir assuntos relacionados com negócios, não parece haver muito que os líderes de cibersegurança possam fazer para reduzir o risco que estas aplicações apresentam. Muitos dos utilizadores mais ávidos destas aplicações são a liderança sénior da organização. Isso não significa que as equipas de cibersegurança devam desistir e ignorar a situação.

A educação ainda pode ser uma ferramenta eficaz. Os profissionais de cibersegurança devem certificar-se de partilhar com os executivos empresariais sempre que houver um incidente de cibersegurança importante envolvendo uma aplicação de mensagens. A verdade é que muitas destas conversas que ocorrem em aplicações de mensagens seriam um pouco mais seguras em plataformas de email nas quais as equipas de cibersegurança investiram uma quantidade significativa de tempo e esforço na sua segurança.

Em última análise, os profissionais de cibersegurança só podem fazer até certo ponto para proteger os utilizadores finais de si próprios. No entanto, uma coisa que eles podem querer garantir é dar o exemplo. Afinal, muitos dos utilizadores finais dos serviços de mensagens são também profissionais de cibersegurança que deveriam saber melhor.