Potenciais impactos de segurança da Lei do Mercado Digital da UE

Antes da promulgação da Lei dos Mercados Digitais (DMA) na Europa, a App Store “Walled Garden Model” da Apple não estava, como todas as lojas de aplicações, sem vulnerabilidades de segurança – mas a sua proibição de “side-loading” oferecia comprovadamente maior segurança, uma vez que em comparação com mercados mais permissivos como o Google Play. No entanto, ao abrigo da Lei dos Mercados Digitais recentemente promulgada na União Europeia, é menos provável que tais proibições permaneçam em vigor para as chamadas empresas “guardiãs” como a Apple, que acreditamos que reduzirão a segurança do ecossistema geral de aplicações móveis.

A Lei dos Mercados Digitais entrou oficialmente em vigor em 1º de novembro de 2022, e a maioria de suas disposições tornaram-se aplicáveis ​​em maio de 2023. No entanto, em 6 de setembro de 2023, a Comissão Europeia designou seis empresas “gatekeepers”, incluindo Apple e Alphabet, controladora do Google. empresa. Especificou que cada controlador de acesso seria obrigado a cumprir uma série de marcos de conformidade no prazo de seis meses após a sua identificação. Assim, a partir de 6 de março de 2024, a Apple não poderá mais impedir que os usuários da App Store ofereçam aplicativos móveis ou outros produtos ou serviços diretamente aos usuários finais ou por meio de serviços de terceiros. O DMA é a mais recente manifestação de uma tensão de décadas entre “segurança” digital e liberdade. Para a Apple, empresa sinônimo de controles rígidos de lojas de aplicativos, o DMA representa um golpe na oferta de um certo tipo de segurança. Para os consumidores, o DMA oferece um conjunto misto: mais liberdade de escolha, mas também mais risco potencial. Esta postagem investiga as implicações do DMA na concorrência nas lojas de aplicativos e na escolha do consumidor a partir da perspectiva de uma empresa que cria aplicativos para consumidores finais e oferece conselhos para empresas que buscam proteger aplicativos no admirável novo ecossistema de lojas de aplicativos exigido pelo DMA.

O cenário pré-DMA

Antes do advento do DMA, o cenário de segurança para os mercados de aplicativos móveis estava historicamente dividido, com a App Store para dispositivos iOS ostentando medidas de segurança superiores em comparação com as dos equivalentes Android. De acordo com nosso Relatório de ameaças de 2023, os aplicativos Android tinham maior probabilidade de serem expostos asafe ambientes, como telefones com acesso root ou aqueles executados em emuladores. Especificamente, 76% dos aplicativos Android foram executados em unsafe ambientes em comparação com 51% dos aplicativos do iPhone. Além disso, os aplicativos Android tinham quatro vezes mais probabilidade de serem executados com código modificado do que os aplicativos para iPhone.

Essa disparidade pode resultar de vários fatores, incluindo a disponibilidade do Android para licenciados terceirizados, a proliferação de fabricantes terceirizados, a disponibilidade de emuladores gratuitos e completos e a facilidade de carregamento lateral de aplicativos - estes contrastam com o hardware controlado da Apple. ecossistema e, mais significativamente, mercado fechado de aplicativos digitais.

Os catalisadores da mudança

A motivação da União Europeia por trás do DMA não foi vista como diretamente ligada a preocupações de segurança, mas com o objetivo de quebrar as barreiras erguidas pelas empresas de tecnologia e promover a concorrência no mercado de aplicações. As disputas entre a Apple e entidades como Epic Games e Spotify, que giravam em torno de políticas e taxas das lojas de aplicativos, ressaltaram a necessidade de intervenção regulatória. Embora a Apple indiscutivelmente fornecesse um ecossistema mais seguro, também estava essencialmente a forçar os proprietários de aplicações a pagar taxas de comissão sobre as receitas cobradas, incluindo para compras dentro da aplicação, por vezes chegando a 30% do preço dos produtos adquiridos. O DMA, portanto, não só prepara o terreno para uma maior escolha do consumidor e para a concorrência no mercado, mas também impede que empresas como a Apple aproveitem uma fonte lucrativa de receitas.

O outro lado: preocupações de segurança

No entanto, a abertura de mercados digitais, conforme exigido pela DMA, não está isenta de armadilhas de segurança e pode inadvertidamente abrir caminho para aplicações de cavalos de Tróia ou “trojans” (aplicações que contêm malware que ataca outras aplicações), bem como mercados para aplicações clonadas. disfarçando-se de “coisa real”. O trojan bancário “anatsa”, por exemplo, tem surgido repetidamente em vários mercados de aplicações Android e tem sido associado a ataques a mais de 600 aplicações bancárias móveis em todo o mundo. Este fenômeno estava limitado a ataques a dispositivos Android até agora. No futuro, poderá encontrar terreno fértil em ecossistemas de aplicativos menos regulamentados criados para iPhones.

Resposta da Apple e novos mecanismos de segurança

As refutações da Apple ao DMA sublinham as suas apreensões em relação à segurança do utilizador, defendendo uma abordagem cautelosa à democratização do mercado. A Apple introduziu um conjunto de novos recursos de segurança, incluindo reconhecimento de firma para aplicativos iOS, autorizações obrigatórias para desenvolvedores de mercado e divulgações transparentes sobre pagamentos alternativos. Na melhor das hipóteses, no entanto, estas medidas oferecem apenas uma mitigação parcial dos riscos que as lojas de aplicações de terceiros representam, ao mesmo tempo que garantem que a Apple pode recuperar algumas das perdas monetárias que certamente sofrerá à medida que o seu domínio sobre o ecossistema de aplicações diminui.

Implicações para empresas que criam aplicativos para seus clientes

O DMA tem o potencial de introduzir novos riscos para as empresas que desenvolvem aplicações, particularmente o risco aumentado de trojans e clonagem de aplicações. Para contrariar esta situação, as empresas devem adotar estratégias de segurança mais robustas baseadas em aplicações, incluindo a integração de segurança – especificamente Endurecimento de aplicativos–no ciclo de vida de desenvolvimento de software.

O App Hardening inclui fornecer um meio de detectar se/quando os aplicativos são executados de maneira inusitada.safe ambientes, além de prevenir atores de ameaças de modificar e republicar aplicativos alterados. Ele também inclui proteções como verificação de assinatura e verificações de integridade de código, que podem ser usadas para impedir que esses aplicativos modificados sejam usados ​​para atacar usuários finais que os encontraram involuntariamente em uma loja de aplicativos de terceiros. Além disso, as empresas podem integrar recursos de monitoramento em seus aplicativos para supervisionar ameaças ao aplicativo pós-deploymento. Finalmente, Autoproteção de aplicativo em tempo de execução (RASP) mecanismos podem capacitar aplicativos para neutralizar ameaças de forma autônoma quando operados em condiçõessafe ambientes ou com código alterado, preservando assim a integridade do aplicativo no cenário de mercado cada vez mais complexo.

Conclusão

O DMA tenta abrir ecossistemas de “jardim murado” para beneficiar os consumidores finais. Com esses esforços surgem riscos, e esses riscos incorporam o equilíbrio matizado necessário entre liberdade e segurança na era digital. À medida que a lei remodela o futuro das lojas de aplicações e do mercado digital mais amplo, as empresas que criam aplicações para o iPhone terão de assumir maior responsabilidade pela segurança das suas aplicações. Embora as medidas de segurança responsivas da Apple forneçam uma estrutura para manter o usuário safeAlém disso, as empresas também devem adotar estratégias de proteção abrangentes para navegar com sucesso nesta nova era. Esta mudança exigirá fundamentalmente que as organizações adoptem mais estratégias de mudança para a esquerda em direcção à segurança. O envio de aplicativos iOS neste novo ambiente sem proteção abrangente de aplicativos, incluindo proteções contra engenharia reversa, agora será mais perigoso do que nunca.