Je načase zrevidovat své aplikace. Zdá se, že některé no code či low code funkcionality využívané jak v iOS tak v Androidových aplikacích nemusí být tak bezpečné, jak jste si mysleli. To je hlavní závěr zprávy popisující pokoutný ruský software využívaný v aplikacích z dílny americké armády, Centra pro kontrolu a prevenci nemocí, britské Labouristické strany a dalších významných subjektů.
Využíváte už některé z inovativních metod šifrování?
Sibiř maskovaná za Washington
Kód vyvinutý společností Pushwoosh se dostal do tisíců aplikací tisíců subjektů. Mezi nimi i Centra pro kontrolu a prevenci nemocí (CDC), které prý bylo přesvědčeno, že jde o firmu se sídlem ve Washingtonu, DC, přestože ta ve skutečnosti sídlí na Sibiři, poukazuje agentura Reuters.
Společnost poskytuje kód a nástroje pro zpracování dat, která mohou být v rámci aplikací využita ke sledování toho, co uživatel dělá online a zasílání personalizovaných notifikací. Podobné služby nabízejí i firmy jako CleverTap, Braze, One Signal nebo Firebase.
Je třeba dodat, že Reuters nemá žádné důkazy, že by takto sesbíraná data byla zneužita. Už jen skutečnost, že jde o ruskou firmu, je však problematická, jelikož data a informace podléhají místní legislativě. A pravděpodobně žádný vývojář, skrz jehož produkt jsou data sbírána, netouží po tom, aby byla zneužita.
Proč se tak děje
Přestože zvlášť v dnešní době máme dostatek důvodů, proč být k Rusku podezřívaví, jsem si jistý, že podobné dodavatelské vývojářské firmy, které mohou, ale taky nemusí stavět zabezpečení na první místo, najdeme v každé zemi. Výzva je určit, kdo tak činí a kdo ne.
Důvod, proč je kód jako ten od společnosti Pushwoosh v aplikacích využíván, je jednoduchý: jde o peníze a čas. Vývoj mobilních aplikací se může prodražit, takže někteří tvůrci za účelem snížení nákladů využívají pro některé funkce už hotové kódy třetích stran.
S postupným příklonem k no code vývoji lze přitom počítat, že taková praxe se stane stále častější. To je samozřejmě v pořádku a těžit z takového přístupu mohou jak vývojáři, tak aplikace i jejich uživatelé. Zároveň to však poukazuje na riziko, které musí každý uživatel a každá firma používající takto postavenou aplikaci vzít v potaz.
Kdo vlastní váš kód?
Do jaké míry lze říct, že je kód bezpečný? Jaká data kód sbírá, jak s nimi nakládá, jak je může uživatel spravovat a jak se může chránit? Je kód pravidelně aktualizován? Zůstává sám o sobě bezpečný? To jsou jen některé z otázek, na které je dobré znát odpověď. Problém je v tom, že jestliže si byť na některou z těchto otázek odpovíte „nevím“ či „ne“, jsou vaše data potenciálně v ohrožení. To vše zdůrazňuje potřebu důkladného a pravidelného posuzování bezpečnosti takto postavených aplikací.
Zároveň jsem přesvědčený o nezbytnosti anonymizace dat, aby se v případě jejich úniku minimalizovalo riziko jejich zneužití. Ostatně, jak ukázala kauza Cambridge Analytica, obfuskace je v dnešní době nezbytností.
Pište pro Computerworld
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři Computerworldu?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu.
Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
Kód společnosti Pushwoosh je používán ve zhruba osmi tisících aplikací a je třeba dodat, že dle vývojářů sbíraná data nejsou ukládána v Rusku. To však samo o sobě dle Reuters neznamená, že jsou zabezpečená před zneužitím. A v určitém smyslu na tom, kde jsou uložena, vlastně až tolik nezáleží, jelikož bezpečnost je založena na předcházení rizikům, nikoliv na hašení požárů. Vzhledem k množství firem, které zkrachují po hackerském útoku, se určitě v ohledu zabezpečení hodí přístup dvakrát měř a jednou řež.
Proto by se každý vývojář spoléhající na už hotové kódy třetích stran měl ujistit, že tyto kódy jsou v souladu s bezpečnostní politikou firmy, pro kterou pracuje. Ve finále totiž dáváte všanc svou reputaci, jméno své firmy a v případě zneužití půjde o váš problém.
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.