ถึงเวลาตรวจสอบโค้ดของคุณแล้ว เพราะดูเหมือนว่าคุณสมบัติบางอย่างที่ไม่มีโค้ดหรือโค้ดน้อยที่ใช้ในแอป iOS หรือ Android อาจไม่ปลอดภัยอย่างที่คุณคิด นั่นเป็นประเด็นสำคัญจากรายงานที่อธิบายว่าซอฟต์แวร์ปลอมของรัสเซียกำลังถูกใช้โดยกองทัพสหรัฐฯ, CDC, พรรคแรงงานแห่งสหราชอาณาจักร และหน่วยงานอื่นๆ
เมื่อวอชิงตันกลายเป็นไซบีเรีย
ปัญหาคือโค้ดที่พัฒนาโดยบริษัทชื่อ Pushwoosh ถูกนำไปใช้กับแอปพลิเคชันนับพันจากเอนทิตีนับพัน ซึ่งรวมถึงศูนย์ควบคุมและป้องกันโรค (CDC) ซึ่งกล่าวว่าพวกเขาเชื่อว่า Pushwoosh มีฐานอยู่ในวอชิงตัน ทั้งที่จริง ๆ แล้วผู้พัฒนามีฐานอยู่ในไซบีเรีย Reuters อธิบาย การเยี่ยมชมฟีด Twitter ของ Pushwoosh แสดงให้เห็นว่าบริษัทอ้างว่ามีสำนักงานใหญ่อยู่ในกรุงวอชิงตัน ดี.ซี.
บริษัทให้การสนับสนุนโค้ดและการประมวลผลข้อมูลที่สามารถใช้ในแอพเพื่อกำหนดโปรไฟล์ว่าผู้ใช้แอพสมาร์ทโฟนกำลังทำอะไรออนไลน์และส่งการแจ้งเตือนส่วนบุคคล CleverTap, Braze, One Signal และ Firebase ให้บริการที่คล้ายกัน เพื่อความเป็นธรรม Reuters ไม่มีข้อพิสูจน์ว่าข้อมูลที่บริษัทรวบรวมนั้นถูกนำไปใช้ในทางที่ผิด แต่ข้อเท็จจริงที่ว่าบริษัทตั้งอยู่ในรัสเซียนั้นเป็นปัญหา เนื่องจากข้อมูลดังกล่าวอยู่ภายใต้กฎหมายข้อมูลท้องถิ่น ซึ่งอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัย
แน่นอนว่าสิ่งนี้อาจไม่เป็นเช่นนั้น แต่นักพัฒนาที่เกี่ยวข้องกับการประมวลผลข้อมูลที่อาจถือว่าละเอียดอ่อนไม่น่าจะต้องการรับความเสี่ยงนี้
เบื้องหลังคืออะไร?
แม้ว่าจะมีเหตุผลมากมายที่ต้องระวังรัสเซียในตอนนี้ แต่ฉันแน่ใจว่าแต่ละประเทศมีผู้พัฒนาส่วนประกอบบุคคลที่สามเป็นของตนเอง ซึ่งอาจจะหรืออาจไม่จัดลำดับความสำคัญของความปลอดภัยของผู้ใช้ ความท้าทายคือการรู้ว่าสิ่งใดทำและสิ่งใดไม่ทำ
เหตุผลที่ใช้รหัส Pushwoosh ในแอปพลิเคชันนั้นง่ายมาก: มันเกี่ยวกับเงินและเวลาในการพัฒนา การพัฒนาแอพมือถืออาจมีราคาแพง ดังนั้นเพื่อลดค่าใช้จ่ายในการพัฒนา แอพบางตัวจะใช้รหัสมาตรฐานของบุคคลที่สามสำหรับงานบางอย่าง สิ่งนี้ช่วยลดต้นทุน และเนื่องจากเรากำลังก้าวไปสู่สภาพแวดล้อมการพัฒนาแบบไม่มีโค้ด/โค้ดต่ำอย่างรวดเร็ว เราจะเห็นแนวทางการสร้างแบบจำลองอิฐและปูนประเภทนี้มากขึ้นในการพัฒนาแอป
เป็นเรื่องที่ดี เนื่องจากโค้ดโมดูลาร์สามารถก่อให้เกิดประโยชน์มหาศาลแก่แอป นักพัฒนา และธุรกิจได้ แต่เน้นย้ำถึงปัญหาที่ธุรกิจใดๆ ที่ใช้โค้ดของบุคคลที่สามจำเป็นต้องทราบ
ใครคือเจ้าของรหัสของคุณ?
รหัสมีความปลอดภัยแค่ไหน? โค้ดเก็บรวบรวมข้อมูลใดบ้าง ข้อมูลนี้ไปที่ใด และผู้ใช้ปลายทาง (หรือบริษัทที่มีชื่อปรากฏในแอป) มีอำนาจใดบ้างในการปกป้อง ลบ หรือจัดการข้อมูลนี้
ยังมีความท้าทายอื่น ๆ อีก: เมื่อใช้รหัสดังกล่าว มีการอัปเดตเป็นประจำหรือไม่? รหัสตัวเองยังคงปลอดภัยหรือไม่? ความเข้มงวดระดับใดที่ใช้เมื่อทำการทดสอบซอฟต์แวร์ รหัสรวมรหัสติดตามสคริปต์ที่ไม่เปิดเผยหรือไม่ ใช้การเข้ารหัสแบบใดและเก็บข้อมูลไว้ที่ไหน?
El problema es que si la respuesta a cualquiera de estas preguntas es "no sé" o "ninguno", los datos están en riesgo. Esto subraya la necesidad de evaluaciones de seguridad sólidas en torno al uso de cualquier código de componente modular.
Los equipos de cumplimiento de datos deben probar rigurosamente estos elementos: las pruebas "mínimas" no son suficientes.
ฉันยังบอกด้วยว่าวิธีการที่ข้อมูลทั้งหมดที่เก็บรวบรวมนั้นไม่ระบุตัวตนนั้นสมเหตุสมผลมาก ด้วยวิธีนี้ ในกรณีที่ข้อมูลรั่วไหล ความเสี่ยงของการใช้ในทางที่ผิดจะลดลง (อันตรายของเทคโนโลยีแบบกำหนดเองที่ขาดการป้องกันข้อมูลอย่างแน่นหนาในระหว่างการแลกเปลี่ยนก็คือ เมื่อรวบรวมข้อมูลนี้แล้วจะกลายเป็นความเสี่ยงด้านความปลอดภัย)
แน่นอนว่าความหมายของ Cambridge Analytica แสดงให้เห็นว่าเหตุใดการทำให้งงงวยจึงเป็นสิ่งจำเป็นในยุคที่เชื่อมโยงกัน
Apple ดูเหมือนจะเข้าใจความเสี่ยงนี้อย่างแน่นอน Pushwoosh ใช้ในแอป iOS และ Android ประมาณ 8000 แอป ที่สำคัญ ผู้พัฒนาอ้างว่าข้อมูลที่รวบรวมไม่ได้ถูกจัดเก็บไว้ในรัสเซีย แต่นั่นอาจไม่สามารถป้องกันการรั่วไหลได้ ผู้เชี่ยวชาญกล่าวโดยสำนักข่าวรอยเตอร์
ในแง่นี้ไม่สำคัญมากนัก เพราะความปลอดภัยขึ้นอยู่กับการคาดการณ์ความเสี่ยง แทนที่จะรอให้เกิดอันตรายขึ้น เนื่องจากมีบริษัทจำนวนมากที่ล้มละลายหลังจากถูกแฮ็ก การป้องกันเรื่องนโยบายความปลอดภัยย่อมดีกว่าการเสียใจ
นั่นเป็นเหตุผลที่ทุกบริษัทที่ทีมพัฒนาใช้โค้ดสำเร็จรูปต้องมั่นใจว่าโค้ดของบุคคลที่สามเป็นไปตามนโยบายความปลอดภัยของบริษัท เนื่องจากรหัสของคุณ ชื่อบริษัทของคุณ และการใช้ข้อมูลในทางที่ผิดเนื่องจากการทดสอบการปฏิบัติตามข้อกำหนดไม่เพียงพอจะเป็นปัญหาของคุณ
Sígueme en Twitter o únete a mí en AppleHolic's bar & grill y en los grupos de discusión de Apple en MeWe. Además, ahora en Mastodon.
ลิขสิทธิ์ © 2022 IDG Communications, Inc.