Possíveis impactos de segurança da Lei do Mercado Digital da UE

Antes da promulgação da Lei dos Mercados Digitais (DMA) na Europa, a App Store da Apple, com seu modelo de "jardim murado", como todas as lojas de aplicativos, não estava isenta de vulnerabilidades de segurança — mas sua proibição de "instalação por fora" oferecia uma segurança comprovadamente maior em comparação com mercados mais permissivos, como o Google Play. No entanto, sob a Lei dos Mercados Digitais recentemente promulgada na União Europeia, é menos provável que tais proibições permaneçam em vigor para empresas consideradas "guardiãs" como a Apple, o que acreditamos que reduzirá a segurança de todo o ecossistema de aplicativos móveis.

A Lei dos Mercados Digitais (Digital Markets Act - DMA) entrou oficialmente em vigor em 1º de novembro de 2022, e a maioria de suas disposições tornou-se aplicável em maio de 2023. No entanto, em 6 de setembro de 2023, a Comissão Europeia designou seis empresas "guardiãs" (gatekeepers), incluindo a Apple e a Alphabet, empresa controladora do Google. A Comissão especificou que cada guardião deveria cumprir uma série de metas de conformidade em até seis meses após sua identificação. Consequentemente, a partir de 6 de março de 2024, a Apple não poderá mais impedir que os usuários da App Store ofereçam aplicativos móveis ou outros produtos ou serviços diretamente aos usuários finais ou por meio de serviços de terceiros. A DMA é a mais recente manifestação de uma tensão de décadas entre "segurança" digital e liberdade. Para a Apple, empresa sinônimo de controles rigorosos na App Store, a DMA representa um golpe na oferta de um certo tipo de segurança. Para os consumidores, a DMA oferece uma situação ambígua: mais liberdade de escolha, mas também mais riscos potenciais. Este artigo analisa as implicações da DMA (Lei de Marketing de Aplicativos) na concorrência das lojas de aplicativos e na escolha do consumidor, da perspectiva de uma empresa que desenvolve aplicativos para o consumidor final, e oferece conselhos para empresas que buscam proteger seus aplicativos no novo e desafiador ecossistema de lojas de aplicativos regulamentado pela DMA.

O cenário pré-DMA

Antes do advento do DMA, o cenário de segurança para lojas de aplicativos móveis era historicamente dividido, com a App Store para dispositivos iOS ostentando medidas de segurança superiores em comparação com as de suas contrapartes Android. De acordo com nosso Relatório de Ameaças de 2023, os aplicativos Android eram mais propensos a serem expostos a ameaças não autorizadas.safe ambientes, como telefones com root ou aqueles executados em emuladores. Especificamente, 76% dos aplicativos Android foram executados em ambientes não rooteados.safe ambientes em comparação com 51% dos aplicativos para iPhone. Além disso, os aplicativos para Android tinham quatro vezes mais probabilidade de serem executados com código modificado do que os aplicativos para iPhone.

Essa disparidade pode decorrer de vários fatores, incluindo a disponibilidade do Android para licenciados terceirizados, a proliferação de fabricantes terceirizados, a disponibilidade de emuladores gratuitos e completos e a facilidade de instalação de aplicativos por fora da loja oficial — fatores que contrastam com o ecossistema de hardware controlado da Apple e, principalmente, com o mercado fechado de aplicativos digitais.

Os catalisadores da mudança

A motivação da União Europeia por trás da DMA não foi vista como diretamente ligada a preocupações de segurança, mas sim como voltada para a quebra de barreiras erguidas por empresas de tecnologia e o fomento da concorrência no mercado de aplicativos. Disputas entre a Apple e entidades como a Epic Games e o Spotify, que giravam em torno das políticas e taxas das lojas de aplicativos, ressaltaram a necessidade de intervenção regulatória. Embora a Apple, indiscutivelmente, tenha proporcionado um ecossistema mais seguro, ela também estava, essencialmente, forçando os proprietários de aplicativos a pagar taxas de comissão sobre as receitas arrecadadas, incluindo as de compras dentro dos aplicativos, que às vezes chegavam a 30% do preço dos produtos adquiridos. A DMA, portanto, não apenas prepara o terreno para uma maior escolha do consumidor e para a concorrência no mercado, mas também limita a capacidade de empresas como a Apple de explorar uma fonte lucrativa de receita.

O outro lado da moeda: preocupações com a segurança.

No entanto, a abertura de mercados digitais, conforme exigido pela DMA, não está isenta de riscos de segurança e pode, inadvertidamente, abrir caminho para aplicativos do tipo cavalo de Troia ou "trojans" (aplicativos que contêm malware que ataca outros aplicativos), bem como para mercados de aplicativos clonados que se fazem passar pelos originais. O trojan bancário "anatsa", por exemplo, surgiu repetidamente em diversas lojas de aplicativos para Android e foi associado a ataques a mais de 600 aplicativos de bancos móveis em todo o mundo. Até então, esse fenômeno se limitava a ataques em dispositivos Android. No futuro, poderá encontrar terreno fértil em ecossistemas de aplicativos menos regulamentados, criados para iPhones.

Resposta da Apple e novos mecanismos de segurança

As respostas da Apple à DMA reforçam suas preocupações com relação à segurança do usuário, defendendo uma abordagem cautelosa para a democratização do mercado. A Apple introduziu um conjunto de novos recursos de segurança, incluindo a autenticação notarial para aplicativos iOS, autorizações obrigatórias para desenvolvedores de lojas de aplicativos e divulgações transparentes sobre pagamentos alternativos. No entanto, na melhor das hipóteses, essas medidas oferecem apenas uma mitigação parcial dos riscos que as lojas de aplicativos de terceiros representam, ao mesmo tempo que garantem que a Apple possa recuperar parte das perdas financeiras que certamente sofrerá à medida que seu controle sobre o ecossistema de aplicativos diminui.

Implicações para empresas que desenvolvem aplicativos para seus clientes

A DMA tem o potencial de introduzir novos riscos para empresas que desenvolvem aplicativos, particularmente o aumento do risco de trojans e clonagem de aplicativos. Para neutralizar isso, as empresas devem adotar estratégias de segurança baseadas em aplicativos mais robustas, incluindo a integração de segurança específica. Reforço da segurança do aplicativo–no ciclo de vida do desenvolvimento de software.

O fortalecimento da segurança de aplicativos inclui fornecer meios para detectar se/quando os aplicativos estão sendo executados em ambientes não seguros.safe ambientes, bem como prevenção atores de ameaças contra a modificação e republicação de aplicativos alterados. Inclui também proteções como verificação de assinatura e verificação de integridade de código, que podem ser usadas para impedir que esses aplicativos modificados sejam usados ​​para explorar usuários finais que os encontraram inadvertidamente em uma loja de aplicativos de terceiros. Além disso, as empresas podem integrar recursos de monitoramento em seus aplicativos para supervisionar as ameaças ao aplicativo após a implantação. Por fim, Autoproteção de aplicativo em tempo de execução (RASP) mecanismos podem capacitar aplicativos a neutralizar ameaças de forma autônoma quando operados em um ambiente não autorizado.safe ambientes ou com código alterado, preservando assim a integridade do aplicativo no cenário de mercado cada vez mais complexo.

Conclusão

A Lei de Marketing Digital (DMA) busca abrir ecossistemas "murados" para beneficiar os consumidores finais. Esses esforços trazem consigo riscos, e esses riscos representam o delicado equilíbrio necessário entre liberdade e segurança na era digital. À medida que a lei remodela o futuro das lojas de aplicativos e do mercado digital em geral, as empresas que criam aplicativos para iPhone precisarão assumir maior responsabilidade pela segurança de seus aplicativos. Embora as medidas de segurança da Apple forneçam uma estrutura para manter a segurança do usuário, a DMA é fundamental para o sucesso da aplicação. safeAlém disso, as empresas também precisam adotar estratégias de proteção abrangentes para navegar com sucesso nesta nova era. Essa mudança exigirá fundamentalmente que as organizações adotem mais estratégias de segurança preventiva (shift-left). Lançar aplicativos iOS neste novo ambiente sem um fortalecimento abrangente da segurança, incluindo proteções contra ataques cibernéticos, pode ser um erro grave. engenharia reversa, agora será mais perigoso do que nunca.