Autor: Márcio

Compreender como transformar sistemas frágeis em ambientes resilientes é o “pulo do gato” para profissionais de tecnologia, desenvolvimento e segurança cibernética atualmente. A segurança de aplicações (AppSec) e a gestão de vulnerabilidades não são apenas tarefas de “corrigir bugs”, mas sim uma estratégia contínua que equilibra dois lados de uma mesma moeda: o caminho do atacante e o caminho do defensor.

No Ciclo da Ofensiva, tudo começa com alguma falha ou deficiência técnica no design, no código ou na arquitetura. Se não resolvida, essa fraqueza se transforma em uma vulnerabilidade real que pode ser explorada, culminando em um ataque que coloca em risco os dados e a operação do sistema, do ambiente ou mesmo da organização e do negócio.

Já no Ciclo da Defesa, a mentalidade muda. Em vez de reagir a ataques, devemos trabalhar a segurança e a privacidade desde a concepção do projeto (princípios conhecidos como security by design e privacy by design). Quanto antes se inicia a preocupação com segurança (o princípio de shift-left), mais amplas, fáceis e eficazes são as proteções. Isso envolve prever o que pode dar errado através da modelagem de ameaças, implementar controles proativos e verificar tudo com testes criteriosos, em um modelo DevSecOps.

Para ajudar você a navegar por essa cadeia, separei os principais conceitos e referenciais utilizados pelo mercado, divididos pela visão de quem ataca e de quem defende. Os principais organismos de referência neste campo são o MITRE a a Fundação OWASP. Uma visão geral está representada no infográfico a seguir.

O Caminho do Atacante (Ofensiva)

Aqui, o foco é entender como as falhas surgem e como elas são exploradas no mundo real.

• MITRE CWE (Common Weakness Enumeration): Catálogo de fraquezas comuns em sistemas de informação (software, firmware ou hardware), documentada e mantida pela comunidade, deficiências ou falhas na arquitetura, no projeto ou no código que introduzem riscos e vulnerabilidades.
  • Referência: cwe.mitre.org
  • A Lista CWE é um dicionário de fraquezas, com sua taxonomia de classificação, que identifica e descreve centenas de fraquezas comuns.
  • CWE Top 25 Most Dangerous Software Weaknesses é a lista das 25 fraquezas mais comuns (prevalentes) e serveras, atualmente.
  • CWSS (Common Weakness Scoring System) é um sistema de pontuação para priorizar vulnerabilidades de software de maneira consistente, flexível e aberta, organizado em três grupos de métricas: Localização de Bases, Superfície de Ataque e Ambiental.
• OWASP Top 10: (The Ten Most Critical Web Application Security Risks): Um ranking atualizado dos riscos de segurança mais críticos para aplicações web, focado no impacto de negócio e prevalência. Em cada risco, são mapeadas as CWEs correlacionadas.
  • Referência: owasp.org/www-project-top-ten
  • OWASP API Security Top 10.
• MITRE CVE (Common Vulnerabilities and Exposures): Uma lista de vulnerabilidades específicas e publicamente conhecidas em produtos ou sistemas de tecnologia.
  • Referência: cve.mitre.org
  • Ver também o NIST NVD (National Vulnerability Database): nvd.nist.gov
• CVSS (Common Vulnerability Scoring System): Padrão aberto para avaliar a gravidade de vulnerabilidades de segurança da informação, gerando uma pontuação numérica de 0 a 10. Gerenciado pela FIRST.org, ele ajuda organizações a priorizar a remediação de falhas com base em métricas de impacto e exploração. A versão 4.0 consiste em quatro grupos de métricas: Base, Ameaça, Ambiental e Suplementar.
  • Referência: first.org/cvss/
  • O que é o Sistema de Pontuação de Vulnerabilidades Comuns (CVSS), por Alice Gomstyn e Alexandra Jonker, IBM Think.
• MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge): Uma base de conhecimento global que descreve as fases operacionais no ciclo de vida de um adversário, pré e pós-exploração (por exemplo, Persistência, Movimentação Lateral, Exfiltração) e cataloga táticas, técnicas e procedimentos (TTPs) usados por adversários durante ataques reais, fornecendo uma taxonomia comum e padronizada. Possui matrizes para ambientes corporativo (Enterprise), móvel (Mobile) e industrial (ICS).
  • Referência: attack.mitre.org
• MITRE CAPEC (Common Attack Pattern Enumeration and Classification): Fornece um catálogo público de padrões de ataque comuns, descrevendo atributos e técnicas empregadas por adversários para explorar fraquezas comuns (CWEs) contra sistemas vulneráveis (por exemplo, injeção de SQL, XSS, fixação de sessão, clickjacking, engenharia social). Ajuda os usuários a entender como os adversários exploram vulnerabilidades em aplicativos e outras capacidades cibernéticas.
  • Referência: capec.mitre.org

O Caminho do Defensor (Defensiva)

Aqui o objetivo é antecipar riscos e construir camadas de proteção que dificultem a vida do invasor.

• Modelagem de ameaças: A modelagem de ameaças (threat modeling) consiste em analisar representações de um sistema para destacar preocupações relacionadas à segurança e à privacidade.
  • Threat Modeling Manifesto, escrito em 2020 por um grupo de profissionais, pesquisadores e autores de cibersegurança que se reuniu para compartilhar uma versão concisa do conhecimento coletivo sobre modelagem de ameaças, definindo seus valores e princípios, padrões e antipadrões.
  • OWASP Threat Modeling Process, por Larry Conklin e outros, aborda os quatro passos básicos da modelagem de ameaças.
• Modelo de ameaças STRIDE: Framework mais popular para identificar ameaças, desenvolvido por Praerit Garg e Loren Kohnfelder na Microsoft. STRIDE é um mnemônico para seis categorias de ameaças: Spoofing (Falsificação – Autenticidade), Tampering (Adulteração – Integridade), Repudiation (Repúdio – Não-repúdio), Information disclosure (Divulgação de informações confidenciais – Confidencialidade), Denial of service (Negação de serviço – Disponibilidade) e Elevation of privilege (Elevação de privilégio – Autorização).
  • Referência: Microsoft Threat Modeling
  • Ameaças e Mitigações do Microsoft Threat Modeling Tool, 01/06/2023.
• OWASP Proactive Controls: Um guia que lista as técnicas de segurança mais importantes que todo desenvolvedor deve implementar durante a escrita do código.
  • Referência: owasp.org/www-project-proactive-controls
• MITRE D3FEND: Um grafo de conhecimento que mapeia contramedidas e técnicas de defesa específicas para neutralizar as capacidades de um atacante.
  • Referência: d3fend.mitre.org
• OWASP ASVS (Application Security Verification Standard): Um padrão detalhado que define os requisitos para verificar se os controles de segurança de uma aplicação foram bem implementados. O ASVS define três níveis de verificação de segurança: Nível 1 (“mínimo”) – primeira camada de defesa, contendo cerca de 20% dos requisitos; Nível 2 (“abrangente”) recomendado à maioria das aplicações; e Nível 3 (“avançado”) aborda mecanismos de defesa em profundidade e outros controles úteis, porém difíceis de implementar.
  • Referência: owasp.org/www-project-application-security-verification-standard
• OWASP WSTG (Web Security Testing Guide): O guia de testes definitivo que fornece o “passo a passo” técnico para testar a segurança de aplicações web e serviços, abrangendo 5 fases ao longo do ciclo de vida de desenvolvimento de software (SDLC): (1) Antes do Desenvolvimento, (2) Definição e Design, (3) Desenvolvimento, (4) Implantação e (5) Sustentação (Manutenção e Operações).
  • Referência: owasp.org/www-project-web-security-testing-guide
  • OWASP Cheat Sheet Series.
  • OWASP Mobile Application Security (MAS).
• CIS Benchmarks: Guias de configuração de segurança (melhores práticas) reconhecidos mundialmente para endurecimento (hardening) de sistemas, desde Windows e Linux até nuvens como AWS e Azure.
  • Referência: cisecurity.org/benchmark

Resiliência com DevSecOps e Visibilidade

Para que toda essa cadeia funcione, a segurança não pode ser um gargalo. No modelo DevSecOps, a segurança é intrínseca ao desenvolvimento, integrando testes estáticos de código, análise de componentes vulneráveis e testes em tempo de execução de forma automatizada e contínua no ciclo de integração e implantação (CI/CD).

• SAST (Static Application Security Testing): Analisa o código-fonte em busca de falhas antes mesmo da aplicação rodar.
• SCA (Software Composition Analysis): Verifica se os componentes e bibliotecas de terceiros e dependências possuem vulnerabilidades conhecidas.
• DAST (Dynamic Application Security Testing): Testa a aplicação “viva” (em execução) para encontrar falhas que só aparecem em tempo real.

O monitoramento e a detecção contínuos garantem a resiliência nas operações, com visibilidade e segurança em tempo de execução (runtime security) e resposta a incidentes.

• WAAP (Web Application and API Protection): Uma linha de defesa moderna para aplicações e APIs expostas, tipicamente incluindo recursos como mitigação de ataques distribuídos de negação de serviço (distributed denial of service – DDoS mitigation), gerenciamento de robôs (bot management), gateway de proteção de APIs, firewall de aplicação (Web Application Firewall – WAF) para filtrar ataques complexos e explorações em tempo de execução (runtime).
• CNAPP (Cloud-Native Application Protection Platform): Conjunto unificado e altamente integrado de recursos de segurança e conformidade, proativos e reativos, que visam proteger todo o ciclo de vida de aplicações e infraestrutura nativas da nuvem (máquinas virtuais, contêineres, Kubernetes e computação sem servidor), do desenvolvimento à produção. Inclui varredura de artefatos (imagens, contêineres, IaC), gerenciamento de postura de segurança (configuração e conformidade) em nuvem (CSPM) e Kubernetes (KSPM), detecção e resposta nas cargas de trabalho (workload) em tempo de execução (CWPP), integrada com plataformas de nuvem e, tipicamente, com IDEs e pipelines CI/CD.
• SOC (Security Operations Center): Monitoramento, detecção e resposta contínuos 24/7, em geral integrando soluções de centralização, análise e correlação de logs e telemetria (SIEM), detecção e resposta estendida (XDR) em endpoints (EDR), rede (NDR) e nuvem (CWP), análise comportamental (UEBA), orquestração e automação (SOAR), combinadas com inteligência e caçada de ameaças (threat intelligence e threat hunting), forense digital e resposta a incidentes (DFIR), inteligência artificial e aprendizado de máquina (machine learning).

Seguir esses frameworks e disciplinas transforma a segurança de sistemas de algo reativo e “heroico” em um processo maduro e previsível.

Mais sobre MITRE e OWASP

As seguintes páginas explicam mais sobre a correlação entre MITRE ATT&CK, CAPEC, CWE e CVE:

• CAPEC – New to CAPEC?
• CAPEC – ATT&CK Comparison

Enquanto o ATT&CK é focado em defesa de rede e descreve fases operacionais no ciclo de vida adversário, o CAPEC foca em segurança de aplicações e descreve atributos e técnicas empregadas por adversários para explorar fraquezas comuns contra sistemas vulneráveis.

A Fundação OWASP provê uma visão integrada de seus vários projetos e padrões, por meio do projeto OWASP Integration Standards, incluindo o OWASP Application Security Wayfider, um diagrama resumido do Ciclo de Vida de Desenvolvimento de Software (SDLC) que busca mapear e correlacionar os projetos, padrões e guias da OWASP:

Outro resultado do OWASP Integration Standards é OpenCRE – Open Common Requirement Enumeration, uma plataforma interativa de vinculação de conteúdo que reúne padrões e diretrizes de segurança OWASP, NIST, ISO27001, CWE, visando facilitar a busca por recursos para desenvolvedores e profissionais de segurança. Inclui OpenCRE Chat bot.

A Copa do Mundo da FIFA 2022 no Catar está chegando. Antes dela já chegou um tradicional passatempo que nesta edição está uma febre mundial: colecionar o álbum de figurinhas (ou, em português europeu, cromos). A editora Panini, com sede na Itália e subsidiária no Brasil, é quem produz o álbum e os cromos adesivos.

Para controlar o preenchimento das 678 figurinhas do álbum — sendo 640 das 32 seleções países, 20 por país incluindo equipe, escudo e 18 jogadores; 29 de símbolos, estádios, bola e museu de campeões anteriores; e mais 8 das figurinhas Team Believers Coca-Cola — é comum as pessoas imprimirem uma tabela para ir marcando as obtidas, como o modelo oferecido pelo site Mundo das Figurinhas.

Mas na era do mundo interconectado pela Internet e os dispositivos móveis, existem muitas opções de aplicativos para smartphones para realizar essa tarefa. Os aplicativos oferecem recursos adicionais, como controlar também as figurinhas repetidas, gerar listagens das figurinhas faltantes e das repetidas e até facilitar as trocas entre pessoas.

Testei 5 destes aplicativos, todos gratuitos, e tem alternativas para vários gostos e necessidades.

Figurinhas Copa Qatar 2022 (Figuritas)

Desenvolvedor: Matias Jurfest

Disponível para Google Android (mais de 100 mil downloads) e para Apple iOS.

Uma interface compacta, limpa e prática, combinada com bons recursos. A versão de 19/09/22 trouxe a funcionalidade Trocar, em que você pode escanear um QR code de outra pessoa com o mesmo app para ver quais figurinhas vocês podem trocar.

Visualização: Todas, apenas Faltantes/Restantes, ou apenas Repetidas; não alterna entre as visualizações deslizando lateralmente a tela (tem que selecionar a opção desejada). Agrupadas por seção/time, sem opção de listagem contínua/compacta (o estilo sem a sigla da seção em cada cromo inviabiliza essa opção). Há opções rápidas de ordenação das seções padrão (ordem do álbum) ou alfabética pela sigla de 3 letras. Cada figurinha é representada por um círculo apenas com o número, dentro da respectiva seção (ou seja, ao invés do item ser identificado por “QAT 2”, o título da seção indica o QAT e o cromo está indicado apenas como “2”). Uma borda dourada/amarela indica as figuras brilhantes. 6 colunas por linha, cabem aproximadamente dois times inteiros por tela. O título de cada seção poderia ser em fonte um pouco menor. Na navegação, senti falta de filtro ou outra forma rápida de ir direto para uma seção, barra de rolagem ou opção rápida de ir para o fim ou para o início.

Marcação: Em qualquer visualização, um toque no número marca como obtida, ou, se já marcada, adiciona uma repetida. A quantidade de repetidas fica facilmente identificada em um pequeno círculo sobreposto, similar às notificações do Android. Para desmarcar ou diminuir 1 unidade, deve-se manter pressionado o ícone. É uma interface de marcação eficiente, mas não há opção ou configuração alternativa (por exemplo, um menu popup de confirmação), caso o usuário não se adapte bem a essa. Poderia ter também uma mensagem de notificação confirmando cada ação realizada. Uma ótima opção rápida de cadeado permite bloquear a edição quando se deseja apenas navegar nas visualizações, evitando a marcação acidental.

Compartilhar: Com opção de Faltantes e Repetidas, apenas Faltantes ou apenas Repetidas, gera uma listagem em texto bem compacta e fácil, com o código de 3 letras da seção no início de cada linha, seguida dos números das figurinhas separados por vírgula. Não inclui na listagem o total de figurinhas faltantes/repetidas. Ao final da listagem, inclui os links para baixar o aplicativo.

Estatísticas: Em uma tela, exibe os totais de figurinhas do álbum, faltantes, obtidas e repetidas, percentual completado e dias colecionando (desde que o aplicativo foi instalado). Não tem dados segmentados por seção/time.

Configurações: Permite completar (marcar todas) ou reiniciar (desmarcar todas) o álbum. Tem opção de configurar o álbum com 19 ou 20 figurinhas por país (alterar essa opção após iniciado o preenchimento desmarca tudo, reiniciando o álbum); e também para exibir ou não a seção Team Believers Coca-Cola.

Álbum – Copa do Mundo 2022

Desenvolvedor: Eduardo Oliveira

Disponível para Google Android (mais de 10 mil downloads).

Muitos recursos inovadores e únicos, como permitir o cadastro de múltiplos álbuns, listar e pesquisar código e descrição (nome do jogador, estádio etc.) das figurinhas, mapear pontos e eventos de troca de figurinhas no mapa (geolocalização), compartilhar por texto, imagem ou QRCode, Backup na nuvem.

Visualização: Em Meus Álbuns, comece por criar um álbum e definir um nome. Há abas Todas, Faltantes e Repetidas, que podem ser alternadas deslizando a tela horizontalmente. No layout em tabela contínua com 3 figurinhas por linha, cabe pouco mais que um time inteiro na tela. O ícone exibe a sigla e número da figurinha e, quando marcada, aparece abaixo o controle de repetidas. No layout listagem uma figurinha por linha, cabem apenas 8 linhas na tela, mas é exibida a descrição de cada figurinha (nome do jogador etc.). A aba Faltantes é ligeiramente mais compacta, pois não exibe os controles de repetidas. Uma lupa dá fácil acesso à pesquisa por código ou descrição para navegar direto para uma figurinha específica. Além disso, exibe à esquerda da tela botões para ir direto para o fim ou o início da listagem. Embora acelerem a navegação, os botões sobrepostos atrapalham um pouco a visualização. Permite arrastar a barra de rolagem para navegação mais rápida. Há também opção para Ordenar alfabeticamente por sigla, ao invés da ordem padrão do álbum. Não inclui os cromos Team Believers Coca-Cola.

Marcação: Na aba Todas, um toque marca a figurinha e exibe o controle da quantidade de repetidas com botões (+) e (-); outro toque desmarca. No menu Configurações, há opções para Perguntar antes de marcar e Perguntar antes de alterar o número de repetidas.

Compartilhar: Nas opções de compartilhamento, esse app dá um show. Primeiro você escolhe compartilhar faltantes e/ou repetidas, em seguida escolhe o formato. Em texto, a listagem corrida por código e número, separada por vírgulas, exibe no início o total de faltantes ou repetidas e, no fim, um link para baixar o app. O formato em imagem gera uma tabela bem compacta. E as listagens em texto e tabela ainda seguem a ordenação atual selecionada. O formato QR Code gera uma imagem que pode ser lida por outro usuário do mesmo app, na opção Ler QR Code.

Estatísticas: O cabeçalho fixo da visualização do álbum mostra total de faltantes e de repetidas e o percentual de progresso. Não são exibidos os totais do álbum e de completadas.

Configuração: Existe uma opção de Configurações no menu da tela inicial do aplicativo, com opções de confirmação, notificações de eventos de troca, habilitação e intervalo do Backup automático. Na tela de visualização do álbum, um menu adicional oferece as opções de Ver em tabela, Ordenar alfabeticamente, Marcas todas, gerar e ler QR Code, renomear e apagar o álbum.

Figurinhas Copa do Mundo 2022

Desenvolvedor: Romario Campos

Disponível para Google Android (mais de 50 mil downloads).

Se você quer a visualização mais compacta possível, esse é o seu aplicativo, com layouts e controles distintos bem resolvidos para o preenchimento do álbum (todas as figurinhas ou só as faltantes) e para repetidas.

Visualização: Figurinhas ou Repetidas, podem ser alternadas deslizando a tela lateralmente. Na visualização Figurinhas, podem ser exibidas todas ou, ativando a configuração apropriada, apenas as Faltantes. A opção de visualização de Grid contínua é super compacta, 7 figurinhas por linha, chegando a caber mais de 70 cromos em uma tela. Mesmo no layout agrupado por seção, cabem três times inteiros de uma vez. Não há indicação visível de figurinhas brilhantes. Na aba Repetidas, um layout mais amplo de 4 figurinhas por linha exibe para cada uma controles para exibir, adicionar (+) e remover (-) a quantidade de repetidas rapidamente, com opção de mostrar todas as figurinhas (útil para marcar a primeira repetida) ou apenas as que já possuem repetidas.

Marcação: Na visualização de Figurinhas, um toque marca como obtida; um novo toque abre um menu pop-up confirmando se deseja desmarcar ou incluir repetida. Pelas Preferências, há opção de alterar as seções da ordem padrão do álbum para a ordem alfabética das siglas das seções. Não há opção/controle para evitar marcação acidental ao navegar. Não há navegação rápida por barra de rolagem nem recurso para ir direto para uma seção, o início ou o fim da listagem.

Compartilhar: Nas Preferências, opções de listar figurinhas faltantes ou repetidas. Disponível apenas no formato texto, a listagem é um pouco prolixa: Nome por extenso de cada seção no início de cada linha, seguida dos cromos com sigla e número. Uma linha em branco ainda separa cada seção. Na listagem de repetidas, a quantidade repetida de cada cromo é exibida entre parênteses. As listagens não incluem o total de faltantes ou repetidas. Inclui link para baixar o app.

Estatísticas: No início da visualização de Figurinhas, são exibidos os totais de figurinhas do álbum, preenchidas, faltantes e repetidas, bem como o percentual concluído. Ao avançar na navegação, essas informações não permanecem exibidas, para vê-las deve-se retornar ao topo.

Configuração: Estão nas Preferências as opções de Ordem alfabética, de Exibir somente figurinhas faltantes e do Tipo de visualização (grid contínuo ou agrupado por seção); Compartilhar figurinhas faltantes ou repetidas; compartilhar e avaliar o app. Poderia haver opção para formas alternativas de desmarcar uma figurinha

Álbum Cheio – Copa 2022

Desenvolvedor: Placar de Futebol

Disponível para Google Android (mais de 10 mil downloads).

As estatísticas mais detalhadas estão aqui.

Visualização: Em uma listagem unificada de 5 ícones por linha, agrupada por seções/times, é possível ativar filtro para exibir apenas Preenchidas, Faltantes ou Repetidas. Cada ícone quadrado de figurinha exibe sua sigla de 3 letras, bandeira e número e, muito pequeno no canto inferior direito, a quantidade de repetidas. Bordas amarelas indicam cromos brilhantes. Os totais de preenchidas, faltantes e e repetidas e percentual completado do álbum ficam fixos no topo. À direita no título de cada seção, são exibidas também as quantidades preenchida e total (X de Y). Com isso, não cabem nem dois times inteiros por tela. Não há opção de listagem contínua sem agrupar por seção. A opção de ordenação alfabética disponível é pela descrição da seção/time em português; ficou pouco prática, diferente dos demais apps que é pela sigla de três letras (em inglês) efetivamente usada para identificar as figurinhas; assim, Alemanha vem primeiro, ao invés de estar em G de GER.

Compartilhar: A listagem de Faltantes ou Repetidas está disponível apenas em texto e é extensa, organizada por seções iniciada com descrição por extenso e sigla, mas tem uma característica interessante: sua ordenação segue a opção atualmente selecionada na visualização, padrão ou alfabética. Um asterisco na frente do número sinaliza uma figurinha brilhante.

Estatísticas: Além das ricas informações de quantitativos na visualização, uma tela específica de estatísticas mostra os quantitativos e percentuais de cada seção com gráfico de barras horizontais.

Figurinhas Copa Qatar 2022

Desenvolvedor: Aon Sistemas

Disponível para Google Android (mais de 500 mil downloads).

Sinceramente, não sei como esse app tem mais de 500 mil downloads no Google Play. Achei o mais fraco dentre os avaliados em interface e recursos.

Visualização: Na visualização por Todas, Faltando ou Repetidas, a listagem em tabela (grid) contínua exibe 5 figurinhas por linha e cabe pouco mais que um time na tela. A coloração ficou estranha, o contrário de todos os outros apps: a cor mais viva/forte é para as figurinhas faltantes e a cor mais fraca/esmaecida para as completadas. Há um filtro para navegar direto para uma seção/time e outro para ordenação Padrão do álbum ou alfabética.

Marcação: O primeiro toque marca a figurinha como completada, o próximo abre um menu para escolher Adicionar repetida ou Remover. Não tem cadeado ou opção para evitar a marcação acidental, mas há uma opção de configuração, “escondida” na aba Compartilhar que desativa o “Adicionar figurinha com 1 clique”, de forma que mesmo para marcar abra o menu para confirmar Adicionar.

Compartilhar: Permite compartilhar as figurinhas completadas, faltantes e repetidas, apenas como texto em uma listagem de formato extenso incluindo descrições das seções e figurinhas com código e número.

Acabou?

Essa análise detalhada de usabilidade e recursos procurou facilitar a escolha de um app que mais se adeque às necessidades e preferências de cada colecionador. Mas se nenhum dos cinco satisfez, pesquisando na loja de aplicativos você encontrará vários outros, como Álbum Figurinhas Copa Qatar 2022, da Futurs Games, Figurinhas Copa QATAR 2022, da Aon Sistemas, e outros na Google Play, Sticker Collector Qatar List, da theSpotMobile, e outros na Apple App Store.

Ah, a própria editora Panini tem um app oficial Panini Collectors que permite gerenciar todos os álbuns lançados pela empresa, disponível para Google Android e para Apple iOS, mas nem testei porque é muito mal avaliado pelos usuários.