O setor de varejo farmacêutico e seus aplicativos móveis

Carlos Ávila    2 julio, 2020
O setor de varejo farmacêutico e seus aplicativos móveis

O setor de varejo farmacêutico foi forçado a avançar muito mais rapidamente nesta corrida da chamada “transformação digital”, devido à pandemia global que a sociedade está enfrentando atualmente. Portanto, as empresas farmacêuticas tiveram que usar aplicativos que já foram implantados ou para implantar rapidamente aplicativos. Esses aplicativos são os mesmos que movem sua empresa para gerenciar prescrições e pedidos de medicamentos, descontos etc. e que tornam atrativa a utilização de seus serviços nesses tempos de alta demanda por medicamentos.

Por outro lado, muitos governos no mundo estabeleceram a quarentena obrigatória, o que levou as pessoas a usar mais a mídia digital para comprar remédios, alimentos e outros produtos. Por esse motivo, os aplicativos móveis e a infraestrutura que os suporta desempenham um papel fundamental hoje, e é mais provável que eles incorporem nossa vida diária mais do que nunca.

Que implicações isso tem?

Todos os dados gerados pelos clientes são gerenciados pelo seu dispositivo móvel e pela infraestrutura tecnológica (própria ou de terceiros) das empresas ou cadeias farmacêuticas. Como esperado, esses aplicativos podem ter vulnerabilidades e representar um risco para os dados do cliente.

Muitos desses aplicativos têm comunicação direta com dispositivos e sistemas da empresa que executam processos internos, criando um vetor de ataque adicional para os cibercriminosos que buscam esse tipo de informação.

Imagem 1: Descrição e funcionalidades de aplicações farmacêuticas
Imagem 1: Descrição e funcionalidades de aplicações farmacêuticas

Nesta análise, selecionei a versão mais recente de 29 aplicativos (iOS / Android) de empresas farmacêuticas nas quais o usuário pode acessar vários serviços, dentre os quais os mais importantes são a compra on-line de medicamentos e o gerenciamento de prescrições médicas. As aplicações foram selecionadas aleatoriamente em empresas farmacêuticas na América do Sul, Espanha e Estados Unidos.

Nessa amostra de aplicativos, focamos em analisar apenas o aplicativo móvel, pois, embora os pontos fracos tenham sido descobertos no lado do servidor ( back-end ), eles não foram incluídos.

Para esta revisão, usamos um dispositivo Android (roteado), um iPhone 5S ( no jailbreak ) e nossas plataformas mASAPP (análise contínua da segurança de aplicativos móveis) e Tacyt (ferramenta de inteligência cibernética para ameaças móveis) .

Resultados da análise

Os 10 principais controles de segurança móvel da OWASP realizaram testes gerais, que representam apenas uma visão geral da quantidade de testes abrangentes que poderiam ser feitos em tais aplicativos móveis.

No nosso caso, os resultados mostraram que, embora controles de segurança tenham sido implementados para o desenvolvimento desse tipo de aplicativo, foram encontradas várias fraquezas que devem ser corrigidas e, acima de tudo, manter a melhoria contínua no processo de desenvolvimento . As vulnerabilidades encontradas de acordo com os controles avaliados são encontradas na seguinte matriz de resumo:

Resumo geral dos resultados analisados ​​controles
(-) Característica que se aplica apenas às plataformas Android
Resumo geral dos resultados analisados ​​controles
(-) Característica que se aplica apenas às plataformas Android

Antes de tudo, queremos destacar vários pontos fracos que encontramos em estruturas facilmente legíveis, como arquivos XML, chaves de API ou arquivos de configuração, o que indica armazenamento local inseguro.

Imagem 2: Arquivos de certificado / chave codificada
Figura 3: Arquivos com API Keys hardcoded legibles
Figura 3: Arquivos com API Keys hardcoded legibles

Embora uma grande parte desses aplicativos estabeleça canais de comunicação segura (HTTPS) com seus back-end , alguns canais HTTP não criptografados continuam funcionando, como mostra a tabela de resultados. Também encontramos aplicativos que não verificam a autenticidade de seus certificados, o que mostra a necessidade de melhorar a segurança nesse sentido.

Imagem 4: Uso de certificados auto assinados
Imagem 4: Uso de certificados auto assinados

Além disso, entre outras práticas inseguras de programação de aplicativos , observamos a falta de recursos de ofuscação de código (despersonalização) para impedir o processo de reversing em quase todos os aplicativos Android.

Imagem 5: Revisão das classes java após o processo de reversing

Imagem 5: Revisão das classes java após o processo de reversing
Figura 6: Documentação e comentários técnicos em detalhes
Figura 6: Documentação e comentários técnicos em detalhes

Um fato não menos importante nesta análise é que cinco dos aplicativos foram encontrados pela Tacyt em mercados não oficiais , em muitos casos implantados por usuários que não eram necessariamente os proprietários do aplicativo (para que finalidade).

Imagem 7: Amostra de um aplicativo encontrado em outros mercados não oficiaisImagem 7: Amostra de um aplicativo encontrado em outros mercados não oficiais

Imagem 7: Amostra de um aplicativo encontrado em outros mercados não oficiais
Imagem 7: Amostra de um aplicativo encontrado em outros mercados não oficiais

Conclusões

Acreditamos que essas descobertas continuam sendo uma contribuição adicional ao progresso em direção a uma melhor segurança e esperamos que sirva para ajudar os desenvolvedores de aplicativos no setor farmacêutico.

Nesta crise de saúde global, houve muitos outros casos em que as indústrias tiveram que transformar muitos de seus serviços tradicionais em serviços digitais, mas de forma abrupta, com os riscos que isso implica para os computadores.

É essencial gerenciar a segurança e a privacidade dos usuários de dados de aplicativos farmacêuticos, pois eles armazenam dados particulares sobre nossa saúde. É importante que as empresas deste setor estejam cientes de que os dados de seus clientes estão expostos a riscos de computadores e que, por meio de controles adequados e avaliações constantes , eles devem protegê-los, mantendo também sua infraestrutura tecnológica protegida contra possíveis ameaças cibernéticas


Carlos Ávila
@badboy_nt

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *