O que o Facebook deveria fazer para tornar as suas aplicações mais seguras?

No IDG Now!:

Especialistas em segurança explicam como a rede deveria agir para evitar que mais problemas sejam causados por desenvolvedores inescrupulosos.

“Baixe o botão não curti”, “Meu Deus, essa menina se matou depois que seu pai publicou em seu mural”. O que esses comentários têm em comum? Ambos são scams que circularam pelo Facebook há alguns meses, tentando convencer os usuários a instalar um aplicativo malicioso. O golpe dessa semana é o programa que promete apresentar quantas vezes seu perfil foi exibido – do mesmo gênero daquele que apresentaria quem o teria visualizado. São programas que brincam com o ego das pessoas e com o desejo de saber tudo antes de todos.

Infelizmente, em geral, esses scams, que permitem o acesso a dados pessoais do internauta, são feitos por desenvolvedores que ganham uma quantia de spammers a cada vítima enganada. Estas não só não verão o que queriam, como liberarão informações a pessoas que nem mesmo conhecem. Se tal situação não causa desconforto ao Facebook, com certeza deveria, afirmam especialistas em segurança.

O processo para enviar aplicativos para o Facebook precisa ser aprimorado, alertam os profissionais consultados. De fato, no começo deste mês, a rede social decidiu desabilitar, temporariamente, um recurso controverso que liberava a desenvolvedores o acesso a endereços e números de celular dos membros. A função atraiu severas críticas de especialistas em privacidade, que avisaram que tais informações permitiriam abusos ainda mais inadequados, como o envio de spam via SMS ou o roubo de identidades.

Em estudo recente, a Sophos observou que o Facebook possuía grande falhas em seu sistema para aplicativos. “Qualquer pessoa pode criar um programa com o poder de interagir com as informações disponíveis no perfil do usuário e nas mensagens trocadas. Mais tarde, como qualquer scam, eles podem ser instalados para funcionar em qualquer página do portal”, conclui.

A empresa de Zuckerberg respondeu: “Nós construímos controles extensivos para o nosso produto, de modo que, ao adicionar um aplicativo, este só terá acesso a uma parte muito limitada das informações disponíveis, sem contar que é o usuário que autoriza ou não o acesso”, alegou. “Além disso, nós garantimos que agimos com atenção para remover/censurar qualquer programa prejudicial antes que ele obtenha dados importantes, e, em caso de problema, nos utilizamos das leis estabelecidas e processamos civilmente os responsáveis”.

Será que isso é o bastante? Muitos especialistas em segurança pensam que não. Portanto, listamos quatro medidas que tornariam o sistema de aplicativos do Facebook mais seguros para os usuários.

Abordagem Walled Garden
Em seu estudo, a Sophos recomenda uma abordagem ao estilo Walled Garden (Jardim Cercado); estratégia utilizada pela Apple em sua App Store.

“Isso se refere a uma porção de informações de serviço, fechadas ou exclusivas, providas aos usuários, em vez de possibilitar o acesso total a aplicativos e conteúdo”, afirma a Sophos. “Essa é a maneira como a App Store opera; os aplicativos precisam de uma autorização oficial da empresa antes que possam estar disponíveis. Tem se provado efetivo na proteção dos usuários contra programas maliciosos e, em uma pesquisa com membros do Facebook, a maioria aprovou esse mecanismo”.

Bethan Cantrell, da consultoria Senior Privacy para os Laboratórios DLI Design, concorda:

“Quem é o desenvolvedor?”, pergunta. “Em sua conta, consta o número do celular e do cartão de crédito, mas ele é uma pessoa confiável, sem nenhum interesse em cometer fraudes? Ou é um esperto garoto de 16 anos, com muito tempo livre e nenhuma preocupação com o uso correto de informações pessoais de outras pessoas?”.

Dê mais controle aos usuários
Outra opção, segundo a Sophos, seria dar aos usuários a opção de proteger suas próprias páginas, permitindo que somente aplicativos controlados a acessassem.

“Esta segundo alternativa só protegeria os internautas mais cuidadosos, que, de qualquer forma, têm menos chances de cair nos golpes de scammers”, alega a empresa de segurança. “Isso não seria tão efetivo para reduzir o número de spams que os usuários menos cautelosos recebem. Portanto, um sistema mais controlado seria a melhor opção”.

Um sistema de notas
Cantrell sugere uma função em que os usuários possam dar notas aos desenvolvedores de aplicativos, de modo que os visitantes consigam visualizar sua reputação na mesma tela em que adicionam o programa. Em outras palavras, antes que você permita que o aplicativo acesse certas informações, um sistema lhe informaria quanto ao histórico de seu criador, qual é a sua classificação e quais infrações já cometeu.

“O eBay oferece informações quanto à reputação do vendedor, mesmo que esse esteja comercializando um livro de apenas 6 dólares. Por que não temos algo semelhante no Facebook?”, questiona a especialista.

Exigir declaração de responsabilidade
“A maioria dos desenvolvedores só querem compartilhar suas criações – enquetes, games, vídeos – mas será que eles compreendem a responsabilidade que possuem por terem à disposição informações sensíveis de outros usuários?”, pergunta Cantrell. “Eles têm conhecimento quanto a segurança necessária para proteger tais dados e como implementá-la?”.

Uma declaração de responsabilidade, em que a equipe do Facebook verificaria com os desenvolvedores a capacidades deles de manter dados privados em segurança, seria um grande passo, conclui.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?