Sistemas operacionais de dispositivos móveis

A segurança da informação entendida em um aspecto amplo, no qual impõe-se como condição a proteção de todos os recursos computacionais voltados para o provimento de serviços e, portanto, de informação, passa necessariamente pela segurança do sistema operacional, um dos principais componentes de praticamente todo sistema computacional.

Os sistemas operacionais para ambiente de dispositivos móveis são especialmente importantes para a segurança da informação, uma vez que são profundamente adaptados aos recursos computacionais e à infraestrutura de serviços e funcionalidades específicas do ambiente e dos equipamentos. São vastos os estudos sobre os principais sistemas operacionais para dispositivos móveis utilizados pelos maiores fabricantes destes equipamentos, tais como o de (Hammershøj et al, 2010), que aborda as diversas particularidades com foco nos aspectos de segurança.

Como o foco deste trabalho é o desenvolvimento de aplicações para dispositivos móveis, e neste ambiente destaca-se o sistema operacional Android, são apresentadas e avaliadas as principais características deste SO, que é baseado no núcleo do Linux, é de código aberto e com uma arquitetura voltada a serviços, como mostrado na Fig. 5. Por estas características a evolução do Android tem apresentado significativas melhorias no que tange à segurança da informação, e as respostas às falhas e ameaças são mais eficazes e mais rápidas do que as de seus concorrentes (Braga et al, 2012).

Figura 5 - Arquitetura do Android. Adaptado de (BRAGA et al, 2012).

No trabalho de (Shabtai et al, 2010) os pesquisadores apresentam um abrangente estudo do Android com o foco em segurança, contemplando os mecanismos de segurança do próprio sistema, uma avaliação dos aspectos de segurança derivados das aplicações e dos recursos e também contramedidas - propostas de soluções e tratamento para ameaças. Quanto às vulnerabilidades e ameaças, Zhou e Jiang (2013) avaliaram o sistema operacional durante quase dois anos, identificando características e comportamento do ambiente e dos ataques, o que permitiu a criação de uma categorização das ameaças e um processo para identificar ameaças em potencial, antevendo o processo de evolução das ameaças e a consequente necessidade da evolução das respostas e contramedidas à estas ameaças. (Braga et al, 2012) apresentam um detalhado estudo do funcionamento do Android, vulnerabilidades e ameaças, além de orientações quanto a cuidados no desenvolvimento de software para a plataforma, ferramentas e mecanismos de defesa.

Já o estudo de Gold (2012) avalia os aspectos de construção do Android, sua evolução histórica e às respostas as ameaças, fazendo um prognóstico quanto aos desafios a serem enfrentados pelos desenvolvedores para dar garantia aos usuários do Android. Mesmo sendo exaustivamente pesquisado, algumas questões cruciais ainda permanecem carentes de respostas confiáveis, como por exemplo a autenticação do usuário, as permissões requeridas pelas aplicações e o tratamento de informações compartilhadas entre aplicações multitarefas.

O Apple iOS, também chamado iPhone OS, em parte devido ao fato de ser proprietário e voltado apenas para os equipamentos produzidos pela Apple, apresenta uma maior robustez

e não é tão explorado quanto o Android. Porém é crescente o surgimento de malwares para esse ambiente, bem como as iniciativas da própria Apple para fazer frente a essas questões. Um exemplo desse esforço é que a arquitetura do iOS, mostrada na Fig. 6, provê APIs de segurança na camada Core Services e a evolução dos security services na versão iOS 7 (Tracy, 2012).

Figura 6 – Arquitetura do Apple iOS. Adaptado de Tracy (2012).

O Windows Phone, sistema operacional da Microsoft para dispositivos móveis, é o sucessor do Windows CE e do Windows Mobile e faz parte da unificação promovida pela Microsoft quanto à arquitetura e a apresentação dos seus sistemas operacionais. A necessidade de controle das aplicações desenvolvidas por terceiros é uma iniciativa que tem por objetivo a segurança da informação, uma vez que exige a homologação das aplicações antes da distribuição pela Microsoft. Os mecanismos de segurança incluem a integridade do sistema, o acesso seguro, a segurança das aplicações e a proteção dos dados, cada um composto de um conjunto de funcionalidades oferecidas aos usuários e aos desenvolvedores de aplicações (Adibi, 2014). A integração total com os produtos do pacote Office – Office 365 – e o uso de serviços Microsoft na nuvem também reforçam os objetivos de segurança, como proposta para prover a segurança por meio da segregação.

O sistema operacional Black Berry OS da empresa Canadense RIM – Research-In- Motion - é uma plataforma proprietária que suporta aplicações J2ME por meio de uma máquina virtual Java disponível no firmware dos dispositivos, o que o torna bastante resistente às ameaças. Assim o sistema operacional não é compilado para código de máquina, e provê abstrações para as funcionalidades do hardware dos dispositivos, reduzindo os gargalos de acesso ao hardware. Graças a questões como estas o Black Berry é bastante utilizado por agentes de negócios que demandam alta segurança para a troca de mensagens e e-mails, entre

outras. O fabricante detém o controle sobre a qualidade das aplicações e responde totalmente pelo desenvolvimento do sistema operacional e aplicativos (Mylonas et al, 2011), embora nas versões mais recentes tenha sido implementada uma compatibilidade com aplicações para o Android.

Desenvolvido orginalmente pela Symbian Ltd. e posteriormente incorporado pelo consórcio entre as fabricantes Nokia, Sony Ericsson e a operadora NTT DoCoMo, o sistema operacional Symbian é atualmente suportado pela Accenture, e voltado para os equipamentos da Nokia Networks (Nokia Siemens) e da Sony-Ericsson. Sua arquitetura específica – mostrada na Fig. 7 - dificultou a existência de ataques no princípio de seu uso, porém o fato de ser de código parcialmente aberto – algumas interfaces são proprietárias – e de ter sido o primeiro SO para sistemas de dispositivos móveis com interface gráfica logo chamou a atenção, tendo sido vítima do primeiro ataque por um worm – o Cabir - ocorrido em 2004. A segurança do sistema é baseada na administração de capacidades – básicas, estendidas e fabricante – que definem as funcionalidades acessadas pelas aplicações (Mylonas et al, 2011).

Figura 7 - Arquitetura do SO Symbian.

Adaptado de http://developer.nokia.com/Community/Wiki.