Isso vai além de simplesmente não confiar nos dados de localização para autenticação de segurança cibernética
A geolocalização já foi uma maneira gloriosa de saber com quem sua empresa está lidando (e, às vezes, o que eles estão fazendo). Então as VPNs começaram a minar isso. E agora, as coisas ficaram tão ruins que a App Store da Apple e o Google Play oferecem aplicativos que declaram descaradamente que podem falsificar locais – e nenhum fornecedor de sistema operacional móvel faz nada para impedir isso.
Por quê? Parece que tanto a Apple quanto o Google criaram os buracos que esses desenvolvedores estão usando.
Em poucas palavras, a Apple e o Google – para testar seus aplicativos em várias geografias – precisavam ser capazes de enganar o sistema para pensar que seus desenvolvedores estão onde quer que eles quisessem dizer que estão.
Os serviços de entrega de alimentos usam a geolocalização para rastrear os entregadores e ver se eles realmente entregaram no endereço de um cliente. Os bancos usam a localização para ver se um solicitante de conta bancária está realmente onde o solicitante afirma – ou para ver se vários aplicativos falsos estão vindo da mesma área. E o Airbnb usa geolocalização para tentar detectar listagens falsas e avaliações falsas, de acordo com André Ferraz, CEO da empresa de segurança de localização móvel Incognia.
“Para os fraudadores, além de explorar o modo de desenvolvedor para alterar as coordenadas GPS, muitas outras ferramentas permitem a falsificação de localização, tanto para geolocalização baseada em IP quanto geolocalização baseada em GPS”, disse Ferraz. “Para geolocalização baseada em IP, existem VPNs, proxies, tor, tunelamento. Para GPS, os mais acessíveis são os aplicativos falsos de GPS. Ainda assim, também existem ferramentas de adulteração e instrumentação, dispositivos enraizados ou desbloqueados, emuladores, adulteração dos dados de localização em movimento e muitos outros”.
Ferraz está lamentavelmente certo. Independentemente de qual dessas muitas opções um fraudador opte por usar, o resultado final é que a TI simplesmente não pode mais confiar na geolocalização para quase nada. Existem alguns aplicativos em que o risco de danos significativos por fraude de localização é tão baixo que provavelmente não há problema em usar a localização – digamos, um aplicativo de jogo em que alguém finge estar no Central Park quando não está. Se tudo o que eles recebem são pontos ou acesso a um tratamento visual especial, provavelmente é inofensivo.
Confiança, aqui, é a palavra-chave. Se sua empresa precisa confiar nos dados de localização, é necessária uma alternativa.
Essa fraude de localização pode ser detectada? Fica complicado. Certos métodos fraudulentos podem ser detectados, mas não todos – e certamente não o tempo todo. Mais importante, a mera detecção de uma anomalia de geolocalização não deve, por si só, determinar positivamente a fraude.
VPN é um exemplo maravilhoso. Muitos usuários ficaram tão acostumados a navegar na Internet no modo VPN que o fazem o tempo todo. Isso significa que eles podem nem pensar nisso quando tentam, por exemplo, abrir uma conta bancária. Em vez de presumir fraude e bloquear o acesso e recusar o aplicativo, os bancos podem oferecer um simples aviso pop-up: “Parece que você está usando uma VPN. Embora aplaudamos sua intenção de segurança e privacidade, o que parece ser uma VPN está interferindo em nossa detecção de localização. Por favor, desligue sua VPN, desligue seu navegador, reinicie seu navegador e retorne”.
O problema com a detecção de falsificação é que algumas empresas reagem exageradamente e assumem fraude intencional. Não é tão simples assim.
Ferraz opta por não culpar a Google ou a Apple, pois elas realmente precisam imitar locais em todo o mundo.
“Esse recurso para permitir que os desenvolvedores testem seus aplicativos como se estivessem em outro lugar foi criado propositalmente pelos provedores de OS, Android e iOS. Portanto, não é uma vulnerabilidade de segurança do sistema operacional. Caso contrário, os desenvolvedores não conseguiriam trabalhar remotamente, por exemplo, porque precisariam ir pessoalmente a locais onde o App oferece algum serviço baseado em localização para fins de teste”, disse Ferraz. “O sistema operacional ainda fornece APIs para os desenvolvedores identificarem se o dispositivo está no modo de desenvolvedor e ativou a ferramenta que permite alterar as coordenadas do GPS. Infelizmente, muitos desenvolvedores não usam este e outros sinais de dispositivos para identificar a falsificação de local”.
Ferraz cita o serviço de entrega de comida como um exemplo clássico de como algumas empresas tentam usar o rastreamento de localização – mas podem se queimar. Existem várias maneiras pelas quais os fraudadores tentam roubar serviços de entrega de alimentos; alguns aceitam uma entrega e simplesmente não vão a lugar nenhum. Em vez disso, eles enganam o sistema de entrega de alimentos para pensar que pegaram o pedido e depois o entregaram.
O problema com alguns desses serviços é que eles pagam instantaneamente quando o sistema pensa que a comida foi entregue. Se eles escolhessem esperar, digamos uma hora ou mais, eles poderiam evitar a fraude. Essa hora deixa muito tempo para o cliente ligar e reclamar que a comida nunca foi entregue. (Às vezes, a empresa de entrega de alimentos “verifica” se a comida foi entregue observando o rastreamento de geolocalização. Ops! Eles não entregam a comida e ainda podem chamar um cliente de mentiroso.)
Às vezes, a fraude na entrega de alimentos não é sobre dinheiro – é sobre a comida em si. Ferraz disse que alguns motoristas realmente pegam o pedido e comem sozinhos – enquanto enganam o aplicativo para “ver” o motorista entregar ao cliente.
Isso levanta a questão do que a TI deve fazer sobre o problema. Há uma grande diferença entre “não use geolocalização” e “não confie em geolocalização”. É semelhante a como um jornalista lida com uma fonte não confiável; você não necessariamente ignora o que eles estão dizendo, mas você triplica a verificação de tudo.
Veja a autenticação de segurança cibernética, por exemplo. Se você está fazendo tudo corretamente – especialmente em um ambiente de confiança zero – provavelmente está contando com dezenas ou mais pontos de dados. Nesse cenário, não há problema em usar dados de geolocalização. Afinal, a maioria desses dados provavelmente está bem. Assim como no exemplo do banco, não rejeite alguém apenas com base em um local incompatível. Mas é perfeitamente apropriado usar qualquer incompatibilidade para desencadear mais perguntas.
Não há razão para você não ter processos diferentes; em alguns casos, a precisão da geolocalização é confiável; em outros, é meramente suplementar; em outros ainda, não importa muito (possivelmente para jogos). Em suma, use a geolocalização, mas nem pense mais em confiar nela.
