[ad_1]
Đã đến lúc kiểm tra mã của bạn, vì có vẻ như một số tính năng không có mã / mã thấp được sử dụng trong các ứng dụng iOS hoặc Android có thể không an toàn như bạn nghĩ. Đó là điểm khác biệt lớn từ một báo cáo giải thích rằng phần mềm ngụy trang của Nga đang được sử dụng trong các ứng dụng của Quân đội Hoa Kỳ, CDC, đảng Lao động Vương quốc Anh và các tổ chức khác.
Khi Washington trở thành Siberia
Vấn đề là mã do một công ty có tên là Pushwoosh phát triển đã được triển khai trong hàng nghìn ứng dụng từ hàng nghìn thực thể. Những điều này bao gồm Trung tâm Kiểm soát và Phòng ngừa Dịch bệnh (CDC), nơi tuyên bố rằng họ đã tin rằng Pushwoosh có trụ sở tại Washington trong khi nhà phát triển thực tế có trụ sở tại Siberia, Reuters giải thích. Một chuyến thăm đến Nguồn cấp dữ liệu Twitter của Pushwoosh cho thấy công ty tuyên bố có trụ sở tại Washington, DC.
Công ty cung cấp mã và hỗ trợ xử lý dữ liệu có thể được sử dụng trong các ứng dụng để lập hồ sơ những gì người dùng ứng dụng điện thoại thông minh thực hiện trực tuyến và gửi thông báo được cá nhân hóa. CleverTap, Braze, One Signal và Firebase cung cấp các dịch vụ tương tự. Hiện tại, công bằng mà nói, Reuters không có bằng chứng nào về việc dữ liệu do công ty thu thập đã bị lạm dụng. Nhưng thực tế công ty có trụ sở tại Nga là có vấn đề, vì thông tin phải tuân theo luật dữ liệu địa phương, điều này có thể gây ra rủi ro bảo mật.
Tất nhiên, nó có thể không, nhưng không có khả năng bất kỳ nhà phát triển nào liên quan đến việc xử lý dữ liệu có thể được coi là nhạy cảm sẽ muốn chấp nhận rủi ro đó.
Nền tảng là gì?
Mặc dù có rất nhiều lý do để nghi ngờ Nga vào thời điểm này, nhưng tôi chắc chắn rằng mỗi quốc gia đều có các nhà phát triển thành phần bên thứ ba của riêng mình, có thể đặt hoặc không đặt vấn đề bảo mật người dùng lên hàng đầu. Thách thức là tìm ra cái nào làm được và cái nào không.
Lý do mà mã như thế này từ Pushwoosh được sử dụng trong các ứng dụng rất đơn giản: đó là về tiền bạc và thời gian phát triển. Việc phát triển ứng dụng dành cho thiết bị di động có thể tốn kém, vì vậy để giảm chi phí phát triển, một số ứng dụng sẽ sử dụng mã có sẵn từ bên thứ ba cho một số tác vụ. Làm như vậy sẽ giảm chi phí và, do chúng tôi đang tiến khá nhanh tới môi trường phát triển không có mã / mã thấp, chúng tôi sẽ thấy nhiều hơn về loại phương pháp tiếp cận mô hình hóa này để phát triển ứng dụng.
Điều đó tốt thôi, vì mã mô-đun có thể mang lại lợi ích to lớn cho ứng dụng, nhà phát triển và doanh nghiệp, nhưng nó làm nổi bật một vấn đề mà bất kỳ doanh nghiệp nào sử dụng mã của bên thứ ba phải kiểm tra.
Ai sở hữu mã của bạn?
Mật mã được bảo mật ở mức độ nào? Dữ liệu nào được thu thập bằng cách sử dụng mã, thông tin đó đi đến đâu và người dùng cuối (hoặc doanh nghiệp có tên trên ứng dụng) có quyền lực nào để bảo vệ, xóa hoặc quản lý dữ liệu đó?
Có những thách thức khác: Khi sử dụng mã như vậy, nó có được cập nhật thường xuyên không? Bản thân mã có bảo mật không? Mức độ nghiêm ngặt nào được áp dụng khi kiểm thử phần mềm? Mã có nhúng bất kỳ mã theo dõi tập lệnh không được tiết lộ nào không? Mã hóa nào được sử dụng và dữ liệu được lưu trữ ở đâu?
Vấn đề là trong trường hợp câu trả lời cho bất kỳ câu hỏi nào trong số những câu hỏi này là “không biết” hoặc “không có”, thì dữ liệu sẽ gặp rủi ro. Điều này nhấn mạnh nhu cầu đánh giá bảo mật mạnh mẽ xung quanh việc sử dụng bất kỳ mã thành phần mô-đun nào.
Các nhóm tuân thủ dữ liệu phải kiểm tra nội dung này một cách nghiêm ngặt – các thử nghiệm “tối thiểu” là không đủ.
Tôi cũng lập luận rằng một cách tiếp cận mà trong đó bất kỳ dữ liệu nào được thu thập đều được ẩn danh có rất nhiều ý nghĩa. Bằng cách đó, nếu bất kỳ thông tin nào bị rò rỉ, cơ hội bị lạm dụng sẽ được giảm thiểu. (Mối nguy hiểm của các công nghệ được cá nhân hóa thiếu tính năng bảo vệ thông tin mạnh mẽ trong quá trình trao đổi là dữ liệu này sau khi được thu thập sẽ trở thành một nguy cơ bảo mật.)
Chắc chắn những tác động của Cambridge Analytica đã minh họa tại sao việc giải mã lại là một điều cần thiết trong thời đại kết nối?
Apple chắc chắn hiểu rõ rủi ro này. Pushwoosh được sử dụng trong khoảng 8.000 ứng dụng iOS và Android. Điều quan trọng cần lưu ý là nhà phát triển cho biết dữ liệu mà họ thu thập không được lưu trữ ở Nga, nhưng điều này có thể không bảo vệ nó khỏi bị đào thải, các chuyên gia được Reuters trích dẫn giải thích.
Theo một nghĩa nào đó, điều đó không quan trọng lắm, vì bảo mật dựa trên việc xử lý trước rủi ro, thay vì chờ đợi nguy hiểm xảy ra. Với một số lượng lớn các doanh nghiệp phá sản sau khi bị tấn công, tốt hơn là bạn nên an toàn hơn là xin lỗi trong chính sách bảo mật.
Đó là lý do tại sao mọi doanh nghiệp có nhóm nhà phát triển dựa vào mã có sẵn phải đảm bảo mã của bên thứ ba tương thích với chính sách bảo mật của công ty. Bởi vì đó là mã của bạn, với tên công ty của bạn trên đó và bất kỳ sự lạm dụng nào đối với dữ liệu đó do kiểm tra tính tuân thủ không đầy đủ sẽ là vấn đề của bạn.
Hãy theo dõi tôi trên Twitterhoặc tham gia cùng tôi trong quầy bar & nhà hàng của AppleHolic và các nhóm Thảo luận về Apple trên MeWe. Ngoài ra, bây giờ trên Mastodon.
Bản quyền © 2022 IDG Communications, Inc.
[ad_2]
