Assim como em outros setores, as companhias aéreas também estão adotando como prioridade a segurança cibernética de aplicativos móveis, já que lidam com uma enorme quantidade de dados sensíveis de seus clientes. O crescimento do turismo nacional, que aumentou 7,8% em 2023, alcançando um faturamento de R$ 189,4 bilhões, deixa evidente a alta demanda e a necessidade de olhar para o setor. 

Chris Roeckl, diretor de produto da Appdome, enfatiza a importância de fortalecer a segurança dos aplicativos para garantir a proteção dos usuários e suas informações pessoais. “Viajar deve ser uma experiência agradável e segura. Infelizmente, os cibercriminosos veem o aumento no uso de aplicativos de companhias aéreas como uma oportunidade para explorar vulnerabilidades e roubar dados sensíveis”, afirma Roeckl.

Pensando nisso, a Appdome, especialista em segurança cibernética para aplicativos móveis, listou as principais formas como os hackers podem atacar os aplicativos e prejudicar os consumidores.

Ataques dinâmicos em tempo de execução

Os invasores utilizam técnicas dinâmicas para analisar ou modificar aplicativos móveis enquanto estão em execução. Eles fazem isso para entender como o aplicativo se comporta e interage com outros componentes ou sistemas, internos ou externos. Ao comprometer aplicativos de viagens dessa maneira, os invasores podem roubar ou coletar dados usados em transações e até mesmo modificar os fluxos de trabalho de um aplicativo móvel em tempo real.

Como os pagamentos geralmente são feitos com cartão de crédito, os especialistas da Appdome recomendam que aplicativos de viagens e reservas implementem proteções de segurança em tempo de execução (RASP), proteções anti-adulteração, anti-depuração e anti-reversão. Essas medidas impedem que o aplicativo seja modificado ou alterado dinamicamente. Essas proteções, combinadas com outras medidas de segurança, são fundamentais para proteger os dados do titular do cartão e cumprir os padrões da indústria PCI DSS, garantindo a segurança das transações e prevenindo o roubo de identidade.

Conexões inseguras e ataques Man-in-the-Middle (MitM)

Os hackers utilizam várias técnicas para realizar ataques MitM (Homem-no-Meio), com o objetivo de interceptar, roubar dados ou se passar por usuários ou serviços confiáveis. Muitos aplicativos de viagens usam versões inseguras ou desatualizadas de HTTP (Protocolo de Transferência de Hipertexto) ou TLS (Segurança da Camada de Transporte), que carecem de criptografia adequada ou são suscetíveis a vulnerabilidades que permitem ataques man-in-the-middle.

“Os desenvolvedores móveis podem proteger conexões e dados de aplicativos Android e iOS utilizando proteções como validação de certificado, verificação de CA (Autoridade Certificadora), detecção de proxy malicioso, fixação de certificado e muito mais. A automação de defesa cibernética sem código elimina o trabalho pesado de construir e implantar essas proteções críticas em aplicativos móveis,” afirma Bavosa.

Malware móvel, ataques de sobreposição, aplicativos falsos e trojans

O malware continua a ser uma ferramenta fundamental nos ataques a aplicativos móveis, usando técnicas como injeção de chave, captura de método e ataques de sobreposição para fins maliciosos. Em um ataque de sobreposição, o atacante insere uma tela falsa que cobre a interface autêntica do usuário, enganando-o a interagir com o malware em vez da tela real.

A sobreposição maliciosa pode se apresentar como um botão, um campo de entrada de dados ou outra tela embutida no aplicativo móvel, imitando a interface real. Esse tipo de ataque é frequentemente combinado com outros malwares, aplicativos falsos, trojans e keyloggers, aumentando sua eficácia em atingir os objetivos dos cibercriminosos.

Como as empresas de viagens podem garantir mais segurança aos seus consumidores?

A Appdome recomenda que, além das medidas de segurança técnicas, as companhias aéreas invistam em treinamentos contínuos para desenvolvedores e equipes de segurança, destacando que a conscientização e o treinamento são essenciais para uma defesa eficaz contra ciberataques. Manter as equipes atualizadas sobre as últimas ameaças e técnicas de mitigação é um ponto importante. Realizar testes de penetração regulares e auditorias ajuda a identificar e corrigir vulnerabilidades antes que sejam exploradas.

“A segurança é um esforço contínuo e colaborativo,” afirma Roeckl. “Trabalhar com parceiros da indústria, especialistas em segurança e a comunidade de usuários pode fortalecer significativamente as defesas dos aplicativos, criando um ambiente de viagem mais seguro para todos”, conclui o executivo. 

Sobre Appdome

A missão do Appdome é proteger todos os aplicativos e usuários móveis do mundo. . Appdome fornece a única plataforma unificada de defesa de aplicativos móveis do setor móvel, alimentada por um mecanismo de codificação móvel patenteado, Threat-Events™ Threat-Aware UX/UI Control e ThreatScope™ Mobile XDR. Usando o Appdome, as marcas móveis eliminam a complexidade, entregam com mais rapidez e economizam dinheiro, oferecendo mais de 300 certificados Secure™ de segurança de aplicativos móveis, antimalware, antifraude, antibot móvel, antifraude, conformidade geográfica, prevenção de ataques MiTM, ofuscação de código , engenharia social e outras proteções em aplicativos Android e iOS com facilidade, dentro do pipeline móvel de DevOps e CI/CD. As principais marcas financeiras, de saúde, governamentais e de comércio móvel usam o Appdome para proteger aplicativos Android e iOS, clientes móveis e empresas móveis em todo o mundo. Appdome detém várias patentes, incluindo patentes dos EUA 9.934.017 B2, 10.310.870 B2, 10.606.582 B2, 11.243.748 B2 e 11.294.663 B2. Patentes adicionais pendentes.