Հիմնական տանողներ
- Բոլոր Google Play հավելվածներում այսօրվանից պարտադիր կերպով կցուցադրվի սննդային ոճի գաղտնիության պիտակ:
- Պիտակը նախատեսված է ավելի լավ բացատրելու հավելվածի թույլտվությունները և գաղտնիության քաղաքականությունը:
- Պիտակի մշակողների կողմից տրամադրված բովանդակությունը կարող է հավելվածների համար մարդկանց մոլորեցնելու հնարավորությունը, ոմանք պնդում են:
Տվյալների անվտանգության նոր բաժինը Google-ի Play Խանութում ունի գաղտնիության փորձագետների բաժանումը:
Այսօրվանից Google Play Store-ի հավելվածները պետք է պարտադիր կերպով կիսվեն իրենց տվյալների հավաքագրման և փոխանակման գործելակերպի վերաբերյալ մանրամասներով, որոնք կցուցադրվեն Տվյալների անվտանգության նոր բաժնում:Այնուամենայնիվ, ինչպես որոշ մարդիկ նկատել են, Google-ն այժմ ակնկալում է, որ մարդիկ վստահեն ծրագրավորողների կողմից տրամադրված գաղտնիության նկատառումներին՝ Google-ի կողմից ստեղծված գաղտնիության թույլտվությունների հին ցուցակի փոխարեն:
«Մենք գիտենք, որ օգտատերերին բովանդակալից ներգրավելու համար ծրագրային համակարգերն իրենք պետք է վստահություն ներշնչեն, և նրանց կողմից այդ նպատակով ցանկացած ջանք թուլանում է հավելվածների խանութի կողմից, որը ներկայացնում է ինքնաբացահայտումը որպես իր քաղաքականություն», - Վուկ Յանոշևիչ, գործադիր տնօրեն։ գաղտնիության ծրագրային ապահովման վաճառող Blindnet-ը Lifewire-ին էլ․
Բաց չարաշահումների համար
Google-ը սկսեց տարածել Տվյալների անվտանգության բաժինը մայիսին՝ ներկայացնելով այն որպես ցուցակված հավելվածների տվյալների հավաքագրման քաղաքականությանը մարդկանց ավելի տեսանելի դարձնելու միջոց: Google-ը առաջինը չէ, ով դա անում է, Apple-ը նման բան թողարկեց 2020 թվականի դեկտեմբերին:
Նոր բաժինը կիսում է հենց այն տվյալները, որոնք հավելվածը հավաքում է և բացահայտում, թե ինչ տվյալներ է այն կիսվում երրորդ կողմերի հետ:Այն նաև մանրամասնում է հավելվածի անվտանգության պրակտիկան և անվտանգության մեխանիզմները, որոնց մշակողները օգտագործում են հավաքագրված տվյալները պաշտպանելու համար, և ասում է մարդկանց, թե արդյոք նրանք կարող են խնդրել ծրագրավորողին ջնջել իրենց հավաքած տվյալները, օրինակ, երբ նրանք դադարեն օգտագործել հավելվածը:
Սակայն Google-ը ոչ միայն կվստահի մշակողներին ճշգրիտ մանրամասներ տրամադրելու հարցում, այլ նաև վերացնում է ավտոմատ ստեղծվող հավելվածների թույլտվությունների հին ցուցակը: Մշակողների կողմից տրամադրված մանրամասների վրա կենտրոնանալը չի համապատասխանում գաղտնիության որոշ փորձագետների:
«Սպառողները խորապես անվստահություն ունեն առցանց համակարգերին մեր օրերում», - պնդում է Յանոշևիչը: «Ընկերությունները և նրանց հավելվածները պետք է լրացուցիչ մղոն անցնեն, որպեսզի ապացուցեն, որ իրենք վատ տղա չեն և շահեն իրենց հաճախորդների վստահությունը»:
Յանոշևիչը համաձայն է, որ փոփոխությունը հնարավորություն է տալիս ծրագրավորողներին խեղաթյուրել իրենց մտադրությունը և հավաքել ավելի շատ տվյալներ իրենց օգտատերերի մասին, քան նրանք պնդում են:
«Բայց ես կարծում եմ, որ այստեղ ամենակարևոր խնդիրն այն է, որ Google-ի կողմից այս կանոնները կարգավորելու և կիրարկելու ցանկացած ձախողում և այդ համապատասխանությունը հրապարակելու համար, ի վերջո, սպառնում է խաթարել օգտատերերի վստահությունը շուկայի և այնտեղ թվարկված հավելվածների նկատմամբ», - կարծում է Յանոշևիչը:.
Ճիշտ ճանապարհ
Ջեֆ Ուիլյամսը, CTO և Contrast Security-ի համահիմնադիրը, ասում է, որ անցումը ինքնավստահված գաղտնիության պիտակներին ավելի կարևոր է, քան թույլտվությունների ցանկից հրաժարվելը:
«Դա ծրագրային ապահովման շուկայում ծրագրային ապահովման սպառողների և արտադրողների շահերը հավասարակշռելու լավագույն միջոցն է», - ասաց Ուիլյամսը Lifewire-ին էլեկտրոնային փոստով: «Կարծում եմ, սա և այլ ջանքեր, ինչպիսիք են ծրագրային ապահովման անվտանգության պիտակները, որոնք օգտագործվում են Սինգապուրում և Ֆինլանդիայում:, իսկապես կարևոր են»:
Գովաբանելով սննդային ոճի պիտակների անցումը, Ուիլյամսը պնդում է, որ օգտատերերի ճնշող մեծամասնությունը մեծ ուշադրություն չի դարձրել հաճախ գաղտնի թույլտվությունների ցանկին, և ավելի պարզ պիտակները ավելի արդյունավետ են օգտատերերի ընտրությունը ձևավորելու համար, ինչպես եղել է: դիտվել է տարբեր այլ ապրանքատեսակների մեջ:
Ուիլյամը կարեկցում է այն մարդկանց, ովքեր ցանկանում են, որ Google-ն ավտոմատ կերպով թվարկի հավելվածի թույլտվությունները, սակայն կարծում է, որ շատ քիչ հավանական է, որ նոր համակարգը չարաշահվի: Նա ասաց, որ ցանկացած ոք, ով խաբում է, հավանաբար կկանչվի կամ կարգելի, քանի որ անհամապատասխանություններ հայտնաբերելը դժվար չէ։
«Այս քայլը չի փոխում այն փաստը, որ օգտատերերը կստանան թռուցիկ պատուհաններ, որոնք թույլ կտան հավելվածներին օգտագործել ցանկացած վտանգավոր թույլտվություն», - բացատրեց Ուիլյամսը: «Յուրաքանչյուր ոք, ով իսկապես հոգ է տանում, դեռ կարող է ստանալ այս տեղեկատվությունը»:
Ավելին, նա մատնանշեց, որ նոր սխեման դեռ թույլ է տալիս երրորդ կողմի վերանայումներ՝ մասնավորապես մատնանշելով OWASP Mobile Application Security Verification Standard-ը (MASVS), որը կարող է մանրակրկիտ ստուգել հավելվածները՝ հաշվի առնելով անվտանգության մի քանի ասպեկտներ՝ իրենց թույլտվություններից դուրս:
«Հնարավոր է, մի օր մենք հասնենք երրորդ կողմի պիտակներին վստահելի աղբյուրից, գուցե Google-ից, գուցե մեկ ուրիշից [ներկառուցված Play Store-ում]», - ասաց Ուիլյամսը: «Բայց առայժմ, ես ողջունում եմ հիանալի պիտակ, որը կօգնի սովորական մարդկանց հասկանալ, թե ինչպես են իրենց օգտագործած հավելվածները պաշտպանում իրենց տվյալները»: