Certificados móveis e contas de desenvolvedores: Quem está imitando?

As empresas correm o risco de perder todos os seus clientes se continuarem a negligenciar sua presença na loja de aplicativos. Enquanto aplicativos móveis maliciosos trazem preocupações de segurança graves à tona, (70% dos principais aplicativos móveis têm versões falsas e em grande parte maliciosas nas lojas de aplicativos) as empresas e desenvolvedores também têm que enfrentar outro desafio na forma de imitadores.

Para uma empresa que precisa manter um aplicativo móvel oficial no Google Play, aplicativos falsos ou impostores podem significar problemas tanto para a credibilidade como para os rendimentos. Para os usuários, o impacto é semelhante, apesar de ser em um nível mais pessoal. Se os usuários são enganados e baixam esses aplicativos, isso pode levar ao roubo de informações, danos à imagem e insatisfação em geral com a marca e serviço da empresa.

As empresas que mantêm um aplicativo oficial em lojas de aplicativos como o Google Play tem um papel importante para minimizar o risco de seus usuários instalarem um aplicativo falso. Ao estabelecer adequadamente sua identidade e seus aplicativos podem ajudar muito seus usuários a escolher os aplicativos reais ao invés dos falsos. Por exemplo: de preferência, todos os aplicativos são disponibilizados a partir de um desenvolvedor, como é o caso de vários aplicativos da Trend Micro:

Figura 1. Aplicativos Trend Micro no Google Play
Figura 1. Aplicativos Trend Micro no Google Play

Porém, notamos que alguma empresas não conseguem fazer isso. Ao invés disso, múltiplos desenvolvedores publicam várias versões de aplicativos oficiais.

Figura 2. Vários aplicativos bancários com diferentes nomes de desenvolvedores
Figura 2. Vários aplicativos bancários com diferentes nomes de desenvolvedores

Por que acontece isso?

O Android exige que todos os aplicativos devem ser assinados (mesmo com um certificado próprio). Grandes empresas terão, é claro, diferentes equipes responsáveis pelo desenvolvimento de diferentes aplicativos. Diferentes chaves privadas podem ser usadas para assinar quaisquer aplicativos criados, mesmo se estiverem consolidados sob uma só conta. Além disso, diferentes contas podem ser usadas para fazer o upload dos aplicativos, mesmo que estejam todos relacionados a uma mesma empresa. A prática pode confundir os usuários, como visto na Figura 2 onde não está claro qual é o aplicativo oficial. Mesmo que os aplicativos estejam consolidados em uma só conta, fora da loja Google Play não há como identificar se esses aplicativos são legítimos ou não (já que o certificado é usado para identificar o autor). Pode ficar confuso saber se um aplicativo é legítimo ou não em outras lojas.

Para os desenvolvedores, o principal impacto aqui é que seus usuários podem não ser capazes de identificar adequadamente seus aplicativos, podendo perder a base potencial de instalação. Porém, para os usuários, isso pode se tornar um grande risco, já que isso dificulta identificar as versões “legítimas” do aplicativo (ex., o nome do desenvolvedor pode não deixar claro quem publicou o aplicativo). Além disso, se o usuário verifica quais outros aplicativos foram publicados por um desenvolvedor específico, pode não haver outros aplicativos a serem encontrados. Por si só, isso não é necessariamente ruim, porém aplicativos maliciosos podem compartilhar essas características também.

Como sabemos quem está fingindo?

As empresas precisam garantir estar adequadamente identificadas como a origem confiável de seus aplicativos. Isso não é difícil demais para empresas que adotam uma gestão de chaves apropriada para permitir que todos os aplicativos lançados sejam assinados por uma chave: muitas grandes empresas são capazes de fazer exatamente isso. A solução é implementar práticas adequadas de gestão de chaves. O departamento de TI de grandes empresas deve ser capaz de organizar isso de maneira correta. De preferência, todos os aplicativos oficiais devem ser assinados por um certificado, vinculados a uma conta de desenvolvedor.

Para os consumidores, isso tem uma vantagem: todos os aplicativos de uma empresa aparecerão como sendo de um desenvolvedor no Google Play, e também em outras lojas de aplicativos. Com os aplicativos oficiais adequadamente identificados, isso ajudará os usuários a identificarem os aplicativos falsos, impedindo que os baixem sem querer. Isso os protege de vários problemas, tal como roubo de informações.

Por enquanto, aconselhamos os usuários a serem cuidadosos ao escolher qual aplicativo baixar. Verificar todos os detalhes relacionados ao aplicativo – nome do desenvolvedor, classificações, análises – pode ajudar a identificar os aplicativos falsos. Além disso, instalar um aplicativo de segurança, como o Trend Micro Mobile Security e Antivirus, pode ajudar a detectar aplicativos falsos, impedindo-os de serem instalados.