A indústria do turismo na América Latina vive uma recuperação essencial após a pandemia. Todos estão novamente fazendo as malas, com milhões de pessoas prontas para visitar as maravilhas de cada canto do mundo. Como tendência global, cada vez mais viajantes estão utilizando aplicativos móveis em vez de websites para reservar vôos e estadia, fazer check-in, partilhar atividades e até comprar coisas enquanto viajam. No entanto, à medida que a indústria continua a crescer, hackers e fraudadores também seguirão o dinheiro.

Recentemente, a plataforma de reservas Despegar anunciou receitas recordes entre US$ 640 e US$ 700 milhões durante 2023 devido à maior demanda na América Latina. Executivos da empresa revelaram que Brasil, México e Argentina são seus três principais mercados de expansão na região.

O segmento de reservas de viagens online é um dos maiores da indústria do turismo em todo o mundo. Representa 63% de toda a indústria, cerca de 756 bilhões de dólares todos os anos. O uso de aplicativos de viagens e transporte cresceu significativamente durante o ano passado, de acordo com a pesquisa de expectativas dos consumidores da Appdome.

Pesquisadores de segurança da Security Affairs realizaram auditorias de segurança nos principais aplicativos de reserva de viagens e descobriram muitos problemas de segurança que permitiriam que invasores acessassem dados confidenciais e informações pessoais, como endereços residenciais, números de cartão de crédito e contas bancárias, números de telefone, nomes de usuário, senhas e tokens de sessão, que podem representar um risco financeiro e físico para os usuários.

“Infelizmente, os resultados destas auditorias de segurança não são únicos. Eles são um sintoma de um problema muito maior, pois a maioria dos aplicativos Android e iOS nas lojas de aplicativos não possuem defesas abrangentes e muitos não têm proteção alguma”, disse Alan Bavosa, vice-presidente de produtos de segurança da Appdome. “A boa notícia é que os desenvolvedores móveis podem usar a automação para defesa de aplicativos móveis e resolver muitos desses problemas de uma só vez”, continua Bavosa.

Diante disso, especialista da Appdome descreve as seis maneiras mais comuns pelas quais os cibercriminosos comprometem aplicativos de viagens e reservas e oferece recomendações sobre como as equipes de desenvolvimento e cibersegurança podem manter seus aplicativos de viagens e usuários seguros.

• Código desprotegido e armazenamento de dados inseguro

Os aplicativos de reservas usam e armazenam dados confidenciais, incluindo nomes, senhas, informações de credenciais e planos de viagens futuras. Infelizmente, os hackers sabem onde encontrar essas informações usando uma ampla variedade de ferramentas de código aberto para fazer engenharia reversa de aplicativos móveis e inspecionar o código-fonte para, desta forma, saber como o aplicativo funciona e onde os dados confidenciais são armazenados. A maioria dos dados armazenados e usados por aplicativos Android e iOS não são criptografados por padrão, o que significa que qualquer pessoa que os encontrar poderá lê-los.

Os especialistas da Appdome recomendam que os fabricantes de aplicativos móveis se protejam contra a engenharia reversa de aplicativos iOS e Android usando ofuscação de código, o que torna mais difícil para os invasores acessar ou compreender o código-fonte ou ler os dados armazenados ou usados pelo aplicativo. Também é importante implementar criptografia de dados robusta para proteger dados confidenciais em todos os locais onde são usados ou armazenados. Isso inclui não apenas a sandbox do aplicativo, mas também o próprio código-fonte, incluindo strings do aplicativo, preferências, arquivos de recursos, etc.

• Ataques dinâmicos em tempo de execução

Os invasores usam técnicas dinâmicas para analisar ou modificar aplicativos móveis enquanto eles estão em execução. Eles fazem isso para entender como o aplicativo móvel se comporta ou interage com outros componentes ou sistemas internos ou externos. Ao fazer isso, os invasores podem comprometer aplicativos de viagens para roubar ou coletar dados usados em transações ou até mesmo modificar os fluxos de trabalho de um aplicativo móvel em tempo real.

Como o pagamento geralmente é feito com cartão de crédito, os especialistas da Appdome aconselham os aplicativos de viagens e reservas a implementarem proteção de segurança de aplicativo em tempo de execução (RASP), proteções anti-adulteração, anti-depuração e anti-reversão que impediriam que o aplicativo fosse modificado ou adulterado com dinamicamente. Essas proteções, combinadas com outras medidas de segurança, são cruciais para proteger os dados do titular do cartão e cumprir os padrões da indústria PCI DSS para proteger transações e dados e evitar roubo de identidade.

• Conexões inseguras e ataques MitM

Os hackers usam muitas técnicas para conduzir ataques MitM com o objetivo de interceptar, roubar dados, ou até mesmo se passar por usuários ou serviços confiáveis. Muitos aplicativos de viagens usam versões inseguras ou desatualizadas de HTTP ou TLS, que não possuem criptografia suficiente ou podem ser suscetíveis a vulnerabilidades de segurança que permitiriam ataques man-in-the-middle (ataques MitM).

“Os desenvolvedores móveis podem proteger conexões e dados de aplicativos Android e iOS usando proteções como validação de certificado, verificação de CA, detecção de proxy malicioso, fixação de certificado e muito mais. Usar a automação de defesa cibernética sem código elimina todo o trabalho pesado de construir e implantar essas proteções críticas em aplicativos móveis”, afirma Bavosa.

• Malware móvel, ataques de sobreposição, aplicativos falsos e trojans

O malware está em constante ascensão como uma arma fundamental no ataque a aplicativos móveis, usando técnicas como injeção de chave, captura de método e ataques de sobreposição para todos os tipos de fins maliciosos. Num ataque de sobreposição, o atacante insere uma tela falsa que cobre a interface autêntica do usuário. Essa tática enganosa visa enganar um usuário móvel para que ele se envolva com o malware de sobreposição prejudicial, em vez da tela real que está oculta.

A sobreposição maliciosa pode assumir a forma de um botão, um campo de entrada de dados ou outra tela incorporada em um aplicativo móvel. Ele foi projetado para se parecer ou imitar a interface do usuário real e geralmente é ocultado pelo malware de sobreposição malicioso controlado pelo invasor. Os ataques de sobreposição são frequentemente combinados com outros malwares, aplicativos falsos, aplicativos de trojan e keyloggers, o que aumenta sua eficácia na consecução dos objetivos do cibercriminoso.

• Jailbreak, root e outros escalonamentos de privilégios

Os aplicativos móveis usam locais e datas específicas para onde você planeja viajar e podem até usar a localização exata atual do consumidor para oferecer serviços próximos. A exposição dos dados do usuário é uma ameaça básica, mas muitas vezes desconsiderada.

O jailbreak e o root são técnicas comuns que os hackers usam para comprometer o sistema operacional e o sistema de arquivos subjacentes, o que, por sua vez, lhes permite comprometer o próprio aplicativo móvel de viagens, incluindo acessar ou alterar uma localização GPS específica. Usar jailbreak e proteção root é uma boa maneira de garantir que o aplicativo esteja sendo executado em um ambiente seguro.

• APIs não seguras

Para fornecer uma experiência de usuário perfeita, os aplicativos de viagens e reservas geralmente se conectam a vários sistemas de back-end e APIs de terceiros para serviços como processamento de pagamentos, sistema de preços, plataformas de agregação de reservas, serviços de pontos de fidelidade, etc. Cada um deles representa um ponto de entrada separado para um invasor atingir, com o objetivo de acessar ou roubar dados valiosos.

Além disso, as APIs de back-end são frequentemente alvo de bots e botnets maliciosos que tentam comprometer aplicativos de reserva usando ataques automatizados de alta escala, como preenchimento de credenciais, DDoS e tomada de controle de contas (ATOs).

Para proteger APIs, é importante considerar uma solução de detecção de bots que possa lidar especificamente com ameaças móveis e que não imponha aos desenvolvedores uma carga para fazer alterações no código-fonte.

“Os aplicativos de viagens e reservas contêm muitas informações confidenciais e valiosas sobre um grande número de consumidores, o que os torna um alvo atraente para os criminosos cibernéticos. Proteger essas informações é uma tarefa difícil, mas, felizmente para os desenvolvedores móveis, eles podem simplificar a defesa de aplicativos móveis usando a automação. A automação da defesa cibernética móvel oferece aos desenvolvedores e equipes de segurança cibernética uma maneira abrangente e automatizada de construir, testar, lançar e monitorar defesas de aplicativos móveis diretamente no pipeline DevOps CI/CD”, conclui Bavosa.