.
O Google quer ajudar os usuários do Android a encontrar aplicativos VPN mais confiáveis por meio de melhores emblemas que alertam sobre auditorias independentes.
O empresário publicitário e a concessão de nuvem proporcionaram aos aplicativos auditados de forma independente em sua Play Store uma exibição mais proeminente de seus valores de segurança, especificamente um banner no topo de sua página do Google Play.
Os aplicativos VPN são os primeiros a receber esse tratamento especial, explicou Nataliya Stanetsky, da equipe de segurança e privacidade do Android do Google, em um anúncio, porque lidam com quantidades significativas de dados confidenciais. E eles são, portanto, um popular alvo de subversão por malfeitores.
“Quando um usuário pesquisar aplicativos VPN, ele verá um banner na parte superior do Google Play que o informa sobre o selo de ‘revisão de segurança independente’ na seção de segurança de dados”, disse Stanetsky.
No ano passado, a parceria do Google com a App Defense Alliance (ADA), lançada em 2019, foi ampliada para incluir o Avaliação de segurança de aplicativos móveis (MASA), uma forma de verificar aplicativos Android para garantir que estejam em conformidade com um padrão de segurança definido pela OWASP.
Não é uma auditoria particularmente completa. Como afirma o site da ADA, “o objetivo do MASA é fornecer mais transparência à arquitetura de segurança do aplicativo, porém a natureza limitada dos testes não garante a segurança completa do aplicativo”.
A ADA também informa que a MASA não verifica necessariamente as declarações de segurança dos desenvolvedores de aplicativos. Obviamente, a aliança não quer ser culpada se perder alguma coisa e um aplicativo de roubo de informações passar despercebido, mas o endosso do grupo MASA conta para alguma coisa.
MASA procura práticas ruins óbvias, como se dados confidenciais são gravados em arquivos de log do aplicativo e se o aplicativo reutiliza chaves criptográficas para diversas finalidades, entre suas muitas verificações. É seguro dizer que você está melhor com aplicativos que evitam esses erros, mesmo que não seja seguro dizer que eles são seguros.
Pelo menos se o MASA errar, o ecossistema Android terá outras medidas de segurança em vigor. Como o Google orgulhosamente proclama, ele tenta proteger contra PHAs e MUwS – aplicativos potencialmente prejudiciais e software móvel indesejado, caso seu tradutor sem sentido esteja inoperante. Isso é feito por meio de análise de risco estática e dinâmica, coletando dados sobre aplicativos maliciosos, com aprendizado de máquina e outros mecanismos.
Anteriormente, os desenvolvedores Android que enviavam seus aplicativos para interrogatório MASA, a certificação bem-sucedida recebia um pequeno selo enterrado na seção “Segurança de dados” do aplicativo.
Deixando a modéstia de lado, o Google Play agora proclamará o mérito MASA para aplicativos VPN de uma forma que seja mais facilmente visível, usando um banner próximo ao topo da lista da loja com link para o Diretório de validação de aplicativos. Trata-se de um repositório central onde todos os aplicativos VPN validados – oito no momento – podem ser vistos como separados de pares mais duvidosos de origem incerta.
“Pesquisar mostra que a rotulagem de segurança transparente desempenha um papel crucial na percepção de risco do consumidor, construindo confiança e influenciando as decisões de compra de produtos”, disse Stanetsky. “Acreditamos que os mesmos princípios se aplicam à rotulagem e crachás na Google Play Store.” ®
.
