Вы действительно знаете, что находится внутри ваших приложений для iOS и Android?

Пришло время проверить ваш код, поскольку оказывается, что некоторые функции без/с низким кодом, используемые в приложениях для iOS или Android, могут быть не такими безопасными, как вы думали. Это большой вывод из отчета, в котором объясняется, что замаскированное российское программное обеспечение используется в приложениях армии США, CDC, Лейбористской партии Великобритании и других организаций.

Когда Вашингтон станет Сибирью

Проблема в том, что код, разработанный компанией Pushwoosh, был развернут в тысячах приложений от тысяч организаций. К ним относятся Центры по контролю и профилактике заболеваний (CDC), которые утверждают, что их заставили поверить в то, что Pushwoosh базируется в Вашингтоне, хотя на самом деле разработчик находится в Сибири, объясняет Reuters. Посещение канала Pushwoosh в Твиттере показывает, что компания утверждает, что базируется в Вашингтоне, округ Колумбия.

Компания предоставляет поддержку обработки кода и данных, которую можно использовать в приложениях для профилирования того, что пользователи приложений для смартфонов делают в Интернете, и отправки персонализированных уведомлений. Аналогичные услуги предлагают CleverTap, Braze, One Signal и Firebase. Теперь, чтобы быть справедливым, у Reuters нет доказательств того, что данные, собранные компанией, были злоупотреблены. Но тот факт, что фирма базируется в России, создает проблемы, поскольку информация подпадает под действие местного закона о данных, что может представлять угрозу безопасности.

Может, конечно, и нет, но маловероятно, что какой-либо разработчик, занимающийся обработкой данных, которые могут считаться конфиденциальными, захочет пойти на такой риск.

Какой фон?

Хотя в настоящее время есть много причин с подозрением относиться к России, я уверен, что в каждой стране есть свои сторонние разработчики компонентов, которые могут или не могут ставить безопасность пользователей на первое место. Задача состоит в том, чтобы выяснить, что делать, а что нет.

Причина, по которой такой код от Pushwoosh используется в приложениях, проста: речь идет о деньгах и времени разработки. Разработка мобильных приложений может стать дорогостоящей, поэтому для снижения затрат на разработку некоторые приложения будут использовать для некоторых задач готовый код от третьих лиц. Это снижает затраты, и, учитывая, что мы довольно быстро движемся к средам разработки без кода / с низким содержанием кода, мы увидим больше такого подхода к разработке приложений с использованием кирпичиков моделирования.

Это нормально, так как модульный код может принести огромные преимущества приложениям, разработчикам и предприятиям, но он выдвигает на первый план проблему, которую должно решить любое предприятие, использующее сторонний код.

Кому принадлежит ваш код?

Насколько безопасен код? Какие данные собираются с помощью кода, куда направляется эта информация и какими полномочиями обладает конечный пользователь (или предприятие, чье имя указано в приложении) для защиты, удаления или управления этими данными?

Есть и другие проблемы: при использовании такого кода он регулярно обновляется? Остается ли безопасным сам код? Какая глубина строгости применяется при тестировании программного обеспечения? Включает ли код какой-либо нераскрытый код отслеживания сценариев? Какое шифрование используется и где хранятся данные?

Проблема в том, что в случае ответа на любой из этих вопросов «не знаю» или «нет», данные подвергаются риску. Это подчеркивает необходимость надежной оценки безопасности при использовании любого кода модульного компонента.

Команды по соблюдению данных должны тщательно протестировать этот материал — «минимальных» тестов недостаточно.

Я бы также сказал, что подход, при котором любые собираемые данные анонимизируются, имеет большой смысл. Таким образом, в случае утечки информации вероятность злоупотреблений сводится к минимуму. (Опасность персонализированных технологий, которым не хватает надежной защиты информации во время обмена, заключается в том, что эти данные, однажды собранные, становятся угрозой безопасности.)

Несомненно, последствия Cambridge Analytica иллюстрируют, почему запутывание является необходимостью в эпоху подключений?

Apple, похоже, понимает этот риск. Pushwoosh используется примерно в 8000 приложений для iOS и Android. Важно отметить, что разработчик заявляет, что собираемые им данные не хранятся в России, но это не может защитить их от эксфильтрации, поясняют эксперты, которых цитирует Reuters.

В некотором смысле это не имеет большого значения, поскольку безопасность основана на упреждении риска, а не на ожидании возникновения опасности. Учитывая огромное количество предприятий, которые разоряются после взлома, в политике безопасности лучше перестраховаться, чем сожалеть.

Вот почему каждое предприятие, команды разработчиков которого полагаются на готовый код, должно убедиться, что сторонний код совместим с политикой безопасности компании. Потому что это ваш код с названием вашей компании, и любое злоупотребление этими данными из-за недостаточного тестирования на соответствие будет вашей проблемой.

Пожалуйста, следите за мной в Твиттере или присоединяйтесь ко мне в группах бара и гриля AppleHolic и обсуждений Apple на MeWe. Кроме того, теперь на Mastodon.

Анализ новостей
Дата публикации: 2022.11.17