Nepoužívá vaše aplikace ruský kód?

22. 11. 2022

Sdílet

 Autor: © Pixabay
Dle agentury Reuters tisíce aplikací renomovaných vydavatelů využívají ke sběru dat ruský kód.

Je načase zrevidovat své aplikace. Zdá se, že některé no code či low code funkcionality využívané jak v iOS tak v Androidových aplikacích nemusí být tak bezpečné, jak jste si mysleli. To je hlavní závěr zprávy popisující pokoutný ruský software využívaný v aplikacích z dílny americké armády, Centra pro kontrolu a prevenci nemocí, britské Labouristické strany a dalších významných subjektů.

Využíváte už některé z inovativních metod šifrování?

Sibiř maskovaná za Washington

Kód vyvinutý společností Pushwoosh se dostal do tisíců aplikací tisíců subjektů. Mezi nimi i Centra pro kontrolu a prevenci nemocí (CDC), které prý bylo přesvědčeno, že jde o firmu se sídlem ve Washingtonu, DC, přestože ta ve skutečnosti sídlí na Sibiři, poukazuje agentura Reuters

Společnost poskytuje kód a nástroje pro zpracování dat, která mohou být v rámci aplikací využita ke sledování toho, co uživatel dělá online a zasílání personalizovaných notifikací. Podobné služby nabízejí i firmy jako CleverTap, Braze, One Signal nebo Firebase. 

Šestero nejpřeceňovanějších IT technologií Přečtěte si také:

Šestero nejpřeceňovanějších IT technologií

Je třeba dodat, že Reuters nemá žádné důkazy, že by takto sesbíraná data byla zneužita. Už jen skutečnost, že jde o ruskou firmu, je však problematická, jelikož data a informace podléhají místní legislativě. A pravděpodobně žádný vývojář, skrz jehož produkt jsou data sbírána, netouží po tom, aby byla zneužita.

Proč se tak děje

Přestože zvlášť v dnešní době máme dostatek důvodů, proč být k Rusku podezřívaví, jsem si jistý, že podobné dodavatelské vývojářské firmy, které mohou, ale taky nemusí stavět zabezpečení na první místo, najdeme v každé zemi. Výzva je určit, kdo tak činí a kdo ne.

Důvod, proč je kód jako ten od společnosti Pushwoosh v aplikacích využíván, je jednoduchý: jde o peníze a čas. Vývoj mobilních aplikací se může prodražit, takže někteří tvůrci za účelem snížení nákladů využívají pro některé funkce už hotové kódy třetích stran. 

S postupným příklonem k no code vývoji lze přitom počítat, že taková praxe se stane stále častější. To je samozřejmě v pořádku a těžit z takového přístupu mohou jak vývojáři, tak aplikace i jejich uživatelé. Zároveň to však poukazuje na riziko, které musí každý uživatel a každá firma používající takto postavenou aplikaci vzít v potaz.

Smutná zpráva: Česku pořád vládne obligátní heslo Přečtěte si také:

Smutná zpráva: Česku pořád vládne obligátní heslo

Kdo vlastní váš kód?

Do jaké míry lze říct, že je kód bezpečný? Jaká data kód sbírá, jak s nimi nakládá, jak je může uživatel spravovat a jak se může chránit? Je kód pravidelně aktualizován? Zůstává sám o sobě bezpečný? To jsou jen některé z otázek, na které je dobré znát odpověď. Problém je v tom, že jestliže si byť na některou z těchto otázek odpovíte „nevím“ či „ne“, jsou vaše data potenciálně v ohrožení. To vše zdůrazňuje potřebu důkladného a pravidelného posuzování bezpečnosti takto postavených aplikací.

Zároveň jsem přesvědčený o nezbytnosti anonymizace dat, aby se v případě jejich úniku minimalizovalo riziko jejich zneužití. Ostatně, jak ukázala kauza Cambridge Analytica, obfuskace je v dnešní době nezbytností.

bitcoin školení listopad 24

Pište pro Computerworld

 

Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři Computerworldu?

Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu.

Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz

Kód společnosti Pushwoosh je používán ve zhruba osmi tisících aplikací a je třeba dodat, že dle vývojářů sbíraná data nejsou ukládána v Rusku. To však samo o sobě dle Reuters neznamená, že jsou zabezpečená před zneužitím. A v určitém smyslu na tom, kde jsou uložena, vlastně až tolik nezáleží, jelikož bezpečnost je založena na předcházení rizikům, nikoliv na hašení požárů. Vzhledem k množství firem, které zkrachují po hackerském útoku, se určitě v ohledu zabezpečení hodí přístup dvakrát měř a jednou řež.

Proto by se každý vývojář spoléhající na už hotové kódy třetích stran měl ujistit, že tyto kódy jsou v souladu s bezpečnostní politikou firmy, pro kterou pracuje. Ve finále totiž dáváte všanc svou reputaci, jméno své firmy a v případě zneužití půjde o váš problém.

 

Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí.  Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.