- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 219 zobrazení
Četné zprávy, jako je tato od TechJury, podtrhují naši rostoucí závislost na mobilních aplikacích od sledování fitness a sledování zdraví až po objednávání jídla a rezervace letů. Statistiky uvádějí, že v roce 2020 si průměrný uživatel smartphonu nainstaloval 40 aplikací a strávil s jejich používáním 87% mobilního času. I když tyto aplikace nabízejí neuvěřitelné vymoženosti, jsou také prostředkem pro škodlivé hackery k získávání citlivých dat a osobních údajů. Než se ale vrhneme do práce hackerů, je důležité porozumět soukromí uživatelů.
Přestože mnoho mobilních aplikací vyžaduje, aby uživatel před spuštěním přijal podmínky, je bezpečné říci, že většina lidí přeskakuje stránky s malým písmem a stačí kliknout na tlačítko „přijmout“ - důvěřovat tvůrci aplikací, že má na mysli nejlepší zájem uživatelů. Nemusí tomu tak být ani v případě nejpoužívanějších aplikací. Vezměte si například Facebook. Když jsou přijaty podmínky používání, Facebook má povolení k přístupu do veškerého interního úložiště telefonu uživatele, protokolů hovorů, textů, kontaktů, rolí fotoaparátu, mikrofonu, připojení Wi-Fi a polohy uživatele. Mnoho lidí na to reaguje slovy: „Nemám co skrývat, tak o co jde?“ Tady je hlavní věc: Čím více rozptýlených osobních údajů a čím více aplikací bude vystaveno vašim datům, tím větší je šance, že se data dostanou do rukou hackera. Přidejte k tomuto druhu zranitelnosti počet falešných mobilních aplikací, které uživatelé nevědomky stahují do svých telefonů.
Je pravda, že průměrný uživatel mobilní aplikace může udělat jen málo - kromě přečtení podmínek a rozhodnutí, zda takovou aplikaci použít nebo ne - ale vývojář mobilních aplikací může pro ochranu soukromí spotřebitelů udělat mnoho.
Vývojáři mobilních aplikací tradičně vytvářejí své aplikace a poté je nahrávají do obchodu, přičemž chápou, že jakmile bude „venku v divočině“, je těžké zjistit, kým a kde bude stažena a nainstalována. To však otevírá dveře zranitelnosti, a proto se předpisy na ochranu osobních údajů za posledních několik let zvýšily. To neznamená, že je vše v pořádku. Naopak. Například v USA existuje mnoho zákonů o ochraně osobních údajů a zabezpečení dat, další rychle přibývají, mezi 50 státy, z nichž některé se vztahují pouze na vládní subjekty, zatímco jiné na soukromé subjekty, nebo obojí. To představuje spleť zásad, které jsou pro běžného uživatele čtečky/mobilní aplikace nejen téměř nemožné pochopit, ale také nesouvislé. Neexistuje žádný jednotný federální standard.
Je rozhodně alarmující připomenout si, jak velmi zranitelní jsou spotřebitelé při rozšiřování svých chytrých telefonů a zařízení IoT s jejich křehkým integrovaným zabezpečením (a pokladnicí finančních údajů, osobních údajů, vztahů a zdravotních stavů) do divočiny kopírujících aplikací a malwaru. Ale vzhledem k těmto informacím a povědomí se soukromí uživatelů, zejména osobu identifikující informace (PII) a další citlivá data, stále více stává hlavním hlediskem pro vývojáře etických aplikací při konstrukci aplikací a během celého životního cyklu vývoje. V první řadě by měl být soulad mobilních aplikací součástí celkové strategie a cyklu SDLC, aby bylo zajištěno právo uživatelů na soukromí. A mělo by být sděleno způsobem, který je uživateli snadno srozumitelný. Například uživatelé, spíše než proud drobného tisku a odstavce za odstavcem žargonu vysvětlujícího podmínky, musí být schopni jasně identifikovat a číst konkrétní a relevantní informace v prostém jazyce, včetně následujících:
- Účel shromažďování údajů
- Přínos pro spotřebitele
- Jaké konkrétní osobní údaje jsou shromažďovány
- V jaké formě jsou data shromažďována
- Kam se data přenášejí
- Jak dlouho aplikace uchovává data
- Jak může uživatel data smazat
Vyhovující aplikace také čestně a objektivně poskytne uživateli všechny povinné informace, jako jsou správná metadata aplikací na komerčním trhu. Společnost Google například nedávno publikovala aktualizované pokyny pro vývojáře systému Android ke zlepšení kvality aplikací a objevování na Google Play, aby zajistily, že podklady v obchodu mohou uživatelům pomoci předvídat prostředí v aplikaci nebo ve hře a podpořit smysluplné stahování. Jeho předem oznámená změna zásad (datum vynucení bude ještě určeno) pro metadata aplikace zahrnuje následující:
- Omezení délky názvů aplikací na 30 znaků
- Zákaz klíčových slov, která naznačují výkon obchodu, propagace v názvu ikony a jménu vývojáře
- Odstranění grafických prvků, které mohou uživatele uvést v omyl v ikoně aplikace
Další informace a popisy, například vysvětlení potřeby přístupu k reklamnímu identifikátoru zařízení (iOS IDFA, Android AAID) a co to pro uživatele znamená, by měly být poskytnuty, i když sledování provádí třetí strana, nikoli samotná aplikace. Uživatelé by také měli mít potřebné informace vysvětlující upozornění související s ochranou osobních údajů uživatele (volitelné, ať už nabízené nebo v aplikaci), žádosti o povolení (zprávy o tom, jaká hodnota je uživateli doručena, tj. Služby sledování polohy), pokusy shromáždit analytiku uživatelů ke sledování chování nebo výkonu, jakož i poskytování informačních obrazovek o aplikaci, o vývojáři, zákaznické podpoře nebo častých dotazech. Ochrana dat by měla být především považována za sdílenou odpovědnost všech stran, které přistupují k datům uživatele. Ve skutečnosti by vývojáři mobilních aplikací měli cítit pocit povinnosti zajistit soukromí a zabezpečení během návrhu a výroby. To zahrnuje autorizaci, správné používání systémového API, šifrování důvěrných dat v klidu a při přenosu dat a také absolvování formálních bezpečnostních testů.
S dynamickou povahou dat shromažďovaných dnes by mobilní aplikace měly být navrženy nejen pro přítomnost, ale i pro budoucnost - a se schopností elegantně zvládnout potenciální situace, kdy je uděleno oprávnění uživatele zrušeno nebo kde je daný souhlas zrušen nebo jakákoli shromážděná data vymazána. Jinými slovy, aplikace může odpovídajícím způsobem reagovat a udržovat svůj stav konzistentně. Přitom můžeme všichni přispět k mnohem bezpečnějšímu mobilnímu světu.
Autor původního článku: Sam Rehman, Boris Khazin
Překlad: Ondřej Strachota
