Görünüşe göre iOS veya Android uygulamalarında kullanılan bazı kod yok/düşük kod özellikleri düşündüğünüz kadar güvenli olmayabilir. Gizli Rus yazılımının ABD Ordusu, CDC, Birleşik Krallık İşçi Partisi ve diğer kuruluşlara ait uygulamalarda kullanıldığını açıklayan bir rapordan büyük çıkarım budur.
Washington Sibirya olduğunda
Sorun şu ki, Pushwoosh adlı bir şirket tarafından geliştirilen kod, binlerce varlıktan binlerce uygulamaya dağıtıldı. Bunlara inanmaya yönlendirildiğini iddia eden Hastalık Kontrol ve Önleme Merkezleri (CDC) dahildir. Pushwoosh geliştirici aslında Sibirya’dayken Washington merkezliydi, Reuters açıklıyor. bir ziyaret Pushwoosh Twitter beslemesi Washington, DC merkezli olduğunu iddia eden şirketi gösterir.
Şirket, akıllı telefon uygulaması kullanıcılarının çevrimiçi olarak neler yaptığını profillemek ve kişiselleştirilmiş bildirimler göndermek için uygulamalar içinde kullanılabilecek kod ve veri işleme desteği sağlıyor. CleverTap, Braze, One Signal ve Firebase benzer hizmetler sunar. Adil olmak gerekirse, Reuters’in şirket tarafından toplanan verilerin kötüye kullanıldığına dair hiçbir kanıtı yok. Ancak, bilgiler yerel veri yasasına tabi olduğundan ve güvenlik riski oluşturabileceğinden, firmanın Rusya merkezli olması sorunludur.
Elbette olmayabilir, ancak hassas olarak görülebilecek verilerin işlenmesiyle ilgilenen herhangi bir geliştiricinin bu riski almak istemesi olası değildir.
Arka plan ne?
Şu anda Rusya’dan şüphelenmek için pek çok neden varken, eminim ki her ulus, kullanıcı güvenliğini ilk sıraya koyabilecek veya koymayabilecek kendi üçüncü taraf bileşen geliştiricilerine sahiptir. Buradaki zorluk, hangisinin yapıp hangilerinin yapmadığını bulmaktır.
Pushwoosh’un bu gibi kodunun uygulamalarda kullanılmasının nedeni basittir: bu para ve geliştirme süresi ile ilgilidir. Mobil uygulama geliştirme pahalı olabilir, bu nedenle geliştirme maliyetlerini azaltmak için bazı uygulamalar bazı görevler için üçüncü tarafların hazır kodunu kullanır. Bunu yapmak maliyetleri düşürür ve kodsuz/düşük kodlu geliştirme ortamlarına oldukça hızlı bir şekilde ilerlediğimiz için, uygulama geliştirmeye yönelik bu tür modelleme tuğlası yaklaşımını daha fazla göreceğiz.
Modüler kod uygulamalara, geliştiricilere ve kuruluşlara büyük faydalar sağlayabileceğinden sorun değil, ancak üçüncü taraf kodunu kullanan herhangi bir kuruluşun incelemesi gereken bir sorunu vurgular.
Kodunuzun sahibi kim?
Kod ne ölçüde güvenli? Kod kullanılarak hangi veriler toplanır, bu bilgiler nereye gider ve son kullanıcı (veya adı uygulamada olan kuruluş) bu verileri korumak, silmek veya yönetmek için hangi güce sahiptir?
Başka zorluklar da var: Bu kodu kullanırken düzenli olarak güncelleniyor mu? Kodun kendisi güvenli kalıyor mu? Yazılımı test ederken ne kadar titizlik uygulanır? Kod, açıklanmayan herhangi bir komut dosyası izleme kodu içeriyor mu? Hangi şifreleme kullanılır ve veriler nerede saklanır?
Sorun şu ki, bu sorulardan herhangi birinin yanıtı “bilmiyorum” veya “hiç” ise, veriler risk altındadır. Bu, herhangi bir modüler bileşen kodunun kullanımıyla ilgili sağlam güvenlik değerlendirmelerine duyulan ihtiyacın altını çiziyor.
Veri uyumluluğu ekipleri bu şeyleri titizlikle test etmelidir – “asgari minimum” testler yeterli değildir.
Ayrıca, toplanan herhangi bir verinin anonimleştirildiği bir yaklaşımın çok anlamlı olduğunu savunuyorum. Bu şekilde herhangi bir bilgi sızması durumunda kötüye kullanım olasılığı en aza indirilir. (Değişimin ortasında sağlam bilgi korumasına sahip olmayan kişiselleştirilmiş teknolojilerin tehlikesi, bu verilerin toplandıktan sonra bir güvenlik riski haline gelmesidir.)
Elbette Cambridge Analytica’nın sonuçları, birbirine bağlı bir çağda şaşırtmanın neden bir zorunluluk olduğunu gösteriyor?
Elma kesinlikle bu riski anlıyor gibi görünüyor. Pushwoosh, yaklaşık 8.000 iOS ve Android uygulamasında kullanılmaktadır. Reuters tarafından alıntılanan uzmanlar, geliştiricinin topladığı verilerin Rusya’da depolanmadığını, ancak bunun onu sızdırılmaktan korumayabileceğini belirtmekte fayda var.
Bir bakıma, güvenlik, riskten ziyade önceden alma riskine dayandığından çok da önemli değil. tehlikenin gerçekleşmesini beklemek. Saldırıya uğradıktan sonra iflas eden çok sayıda işletme göz önüne alındığında, güvenlik politikasında üzgün olmaktansa güvende olmak daha iyidir.
Bu nedenle, geliştirme ekipleri hazır koda güvenen her kuruluş, üçüncü taraf kodunun şirket güvenlik politikasıyla uyumlu olmasını sağlamalıdır. Çünkü bu sizin kodunuz, üzerinde şirket adınız ve yetersiz uyumluluk testi nedeniyle bu verilerin kötüye kullanılması sizin sorununuz olacaktır.
lütfen beni takip et heyecanya da bana katıl AppleHolic’in barı ve ızgarası ve Elma Tartışmaları MeWe’deki gruplar. Ayrıca, artık Mastodon.
Telif Hakkı © 2022 IDG Communications, Inc.
