A Lei dos Mercados Digitais (DMA) da União Europeia dá passos importantes no sentido da reestruturação dos mercados digitais, afetando os chamados gatekeepers Apple e Google. Embora o DMA vise promover a concorrência e a inovação através da quebra de barreiras monopolísticas, indiretamente destaca a segurança das aplicações móveis.
Ao apoiar lojas de aplicativos alternativas e “sideloading”, o DMA incentiva a concorrência que incentiva os desenvolvedores a se diferenciarem, oferecendo recursos avançados de segurança e processos de teste. O DMA pode servir como impulsionador para um ambiente de aplicativos móveis mais seguro.
A AppStore e o Google Play da Apple dominaram o mercado de distribuição e pagamentos de aplicativos móveis por mais de uma década. Embora isso proporcione conveniência ao usuário, críticos como Epic Games e Spotify argumentam que isso sufocou a inovação e resultou em um ecossistema mais caro e menos seguro.
Apesar dos processos formais de revisão da Apple e do Google, os aplicativos maliciosos ainda conseguem passar. Os usuários são explorados por meio de aplicativos inseguros, malware e spyware, incluindo aplicativos que contornam as políticas de privacidade ao coletar e transmitir dados do usuário sem o devido consentimento. Aplicativos fraudulentos que imitam aplicativos legítimos também podem ser aprovados, induzindo os usuários a baixar aplicativos que podem comprometer sua segurança ou privacidade. Além disso, muitos aplicativos têm segurança de API inadequada, expondo dados confidenciais e potencialmente levando a acesso não autorizado e violações de dados.
A Apple, juntamente com grande parte da comunidade de desenvolvedores de aplicativos móveis e agora o Departamento de Justiça dos EUA, contesta veementemente a posição da UE. A Apple afirma que permitir o sideload de aplicativos e outras alterações compromete ainda mais a segurança do ecossistema iOS e diz que está “garantindo que o iPhone seja o mais seguro de todos os telefones disponíveis”.
Os desenvolvedores de aplicativos tradicionalmente navegam em um “jardim murado”, e o sucesso depende da conformidade com os rígidos regulamentos da App Store. O DMA introduz mudanças fundamentais, forçando os gatekeepers a afrouxar o controle sobre a distribuição de aplicativos. Em particular, permite a instalação de aplicativos de fontes externas além da sua própria loja de aplicativos.
À medida que o conflito entre os reguladores da UE e a Apple e o Google se intensifica, deparamo-nos com uma versão moderna de um paradoxo clássico. Em outras palavras, uma força imparável encontra um objeto imóvel ou, neste caso, dois objetos imóveis.
A luta por mercados digitais justos e seguros chegou a um impasse. Por um lado, os desenvolvedores estão pressionando por uma redução no exorbitante “imposto sobre aplicativos”, visando um número mais palatável, muito mais próximo de 3% do que os atuais 30%. Os consumidores, por outro lado, querem a liberdade de escolher as suas aplicações e querem um mercado que seja garantido como seguro, que cumpra padrões razoáveis, mas não infalíveis, da indústria. Os reguladores estão a trabalhar para desmantelar estruturas monopolistas que sufocam a inovação e promovem um terreno fértil onde as pequenas e médias empresas possam prosperar sob o sol da concorrência, em vez de se esconderem atrás de guardiões.
quebrar o impasse
A resolução deste impasse começa com o reconhecimento destes desejos multifacetados e com o reconhecimento de que não são mutuamente exclusivos, mas sim componentes de um ecossistema funcional. Alcançar este equilíbrio requer uma abordagem que respeite as preocupações legítimas de segurança colocadas pelos ecossistemas abertos, ao mesmo tempo que abraça a inovação e a concorrência que o sideload e os mercados de aplicações alternativas prometem. Existe um caminho a seguir marcado pela justiça, segurança e concorrência.
Primeiro passo: O processo de revisão de segurança existente que o Google e a Apple empregam para aplicativos móveis é profundamente falho, extremamente caro e carece de transparência, enquanto muitos dispositivos móveis conhecidos significam aceitar que não estamos lidando com a ameaça. Os aplicativos móveis enfrentam preocupações de segurança significativas, incluindo criptografia de dados deficiente, armazenamento de dados inseguro e vulnerabilidades nos canais de comunicação e nos serviços de back-end (APIs).
Uma abordagem de segurança mais eficaz pode incluir a adoção de padrões abertos, como as estruturas fornecidas pelo Open Worldwide Application Security Project (OWASP). As Diretrizes OWASP Mobile Top 10 e OWASP MASVS baseiam-se na transparência e em um conjunto coletivo de conhecimentos para ajudar a melhorar a segurança de seus aplicativos móveis.
Os produtos de segurança aberta já estão impulsionando tecnologias avançadas que não apenas protegem o canal de comunicação entre os aplicativos e a nuvem, mas também tornam muito mais difícil a engenharia reversa do código de um aplicativo ou a verificação da autenticidade de um aplicativo após o download. Reforçar a segurança evitando o roubo de credenciais, implementando métodos de autenticação robustos e realizando avaliações e atestados de segurança em tempo de execução pode ajudar a identificar atividades anômalas nos processos operacionais e no ambiente do dispositivo do seu aplicativo.
Além disso, os desenvolvedores devem ser incentivados a incluir uma lista de materiais de software padronizada (SBOM) como um componente integral do processo de lançamento para todas as plataformas. Os fornecedores que aderem a padrões abertos rigorosos podem ser certificados quanto à conformidade por um órgão de padrões independente, em vez de por meio de um processo de reconhecimento de firma proprietário para uma plataforma específica. Semelhante aos rótulos nutricionais dos alimentos, estas certificações de segurança servem como indicadores claros para os consumidores, para que possam tomar decisões informadas e garantir a segurança dos aplicativos que escolhem instalar.
Outro passo para resolver o impasse já está em curso, uma vez que a Apple concordou recentemente em permitir que os programadores da UE distribuam aplicações directamente a partir dos seus websites, de forma semelhante ao software de computador. A adoção de um modelo de distribuição para aplicativos móveis semelhante ao software Windows, Mac e Linux poderia aumentar significativamente a segurança e a concorrência dentro do ecossistema.
Permitir que os usuários baixem aplicativos diretamente dos sites dos principais desenvolvedores de aplicativos, como Spotify, Facebook e Fortnight, coloca o fardo da segurança diretamente sobre os fornecedores. Os fornecedores são particularmente propensos a priorizar a proteção da reputação da sua marca através de medidas de segurança rigorosas. Se pudéssemos reduzir significativamente as taxas associadas à distribuição através de lojas de aplicativos. Este modelo direto ao consumidor promove relacionamentos mais próximos entre desenvolvedores de aplicativos e usuários, aumentando potencialmente a confiança e a transparência e reduzindo a dependência de lojas de aplicativos centralizadas, permitindo uma única redução dos riscos associados a pontos de falha.
Além disso, o surgimento de várias lojas de aplicativos poderia introduzir uma concorrência saudável no mercado e aumentar as taxas do Google e da Apple. As lojas de aplicativos geram bilhões de dólares e devem atrair forte concorrência de startups e marcas estabelecidas como Amazon, Alibaba, Microsoft e Meta. Esta abertura promete uma escolha mais ampla para os consumidores, estimula a inovação nos mercados de aplicações e leva ao desenvolvimento de normas de segurança especializadas, adaptadas a diferentes tipos de aplicações e indústrias, tornando-as, em última análise, mais seguras e mais protegidas. Um ambiente de aplicações móveis competitivo poderia ser promovido.
Produtos inovadores de segurança móvel estão prontamente disponíveis e tornar-se-ão ainda melhores se o DMA da UE eliminar as restrições do mercado e os impostos ocultos, como a agregação da segurança e do acesso ao mercado. Startups e novas tecnologias podem fornecer proteção robusta que funciona em toda a plataforma, incluindo aplicativos de sideload, mas, o que é mais importante, não depende da infraestrutura ou APIs proprietárias da Apple ou do Google. Permitir que os desenvolvedores priorizem a segurança se adapta bem ao uso crescente do desenvolvimento multiplataforma. plataforma. Os desenvolvedores devem procurar reduzir o custo de manutenção de fluxos de código separados para Apple e Android, e agora estão usando BharOS, Harmony OS e Android não-GMS para proteger dispositivos móveis que operam na Índia, China, América do Sul e Oriente Médio. plataformas como No Leste e na África, a Apple e o Google tendem a ser menos dominantes.
Em vez de criar uma crise de segurança, incentivar o sideload por meio de DMA poderia, na verdade, revolucionar a segurança de aplicativos móveis. À medida que crescem as preocupações com as ameaças alimentadas pela IA, há uma necessidade urgente de produtos de segurança mais avançados e versáteis que transcendam os limites da plataforma e não estejam vinculados aos processos de aprovação da Apple ou do Google. Com mais liberdade do desenvolvedor, vem mais responsabilidade do desenvolvedor. O novo cenário poderá ver alianças entre pequenas empresas de segurança, que tradicionalmente competem pela supremacia dos gatekeepers das lojas de aplicativos, e desenvolvedores de aplicativos como Epic Games e Spotify. Um esforço colaborativo poderia representar um desafio formidável ao status quo mantido pela Google e pela Apple e poderia estimular novos investimentos em medidas de segurança mais fortes e autónomas.
Ted Miracco, CEO, Approov Mobile Security
