移动应用程序在全球企业中的使用持续攀升,不久之后几乎所有员工/承包商的通信都将通过移动设备进行。 这就是为什么移动应用程序可以广泛访问设备上的所有内容,并且对这些应用程序可以共享的内容几乎没有限制,这对安全性和合规性构成了如此大的威胁。
Apple 辩称,它已经在 iOS 中通过其应用程序跟踪透明度推送来解决这个问题。 但上周《华盛顿邮报》的一篇报道破坏了该公司的承诺。 为什么? 因为 Apple 一直相信应用程序供应商实际上会按照他们同意的方式去做。 (没有人能预见到爆炸。)
在我们深入研究 Apple 应用程序数据共享的最新发展之前,有一些对 Google Android 用户来说可能是个好消息。 在本月的一篇博客文章中,Android 承诺从 12 月开始推出新规则,默认情况下,将锁定一段时间未使用的应用程序的任何权限。
这基本上可以保护用户免受他们忘记的旧应用程序的影响,确保应用程序对敏感设备信息的访问受到限制。 这与 Apple 的策略不同,因为它似乎不依赖供应商合作。
“为了正常工作,应用程序通常需要请求某些权限,但在任何给定设备上都有数十种应用程序,要跟上您之前授予的权限可能很困难 – 特别是如果您没有使用过某个应用程序 很长一段时间,”博客文章说。 “在 Android 11 中,我们引入了权限自动重置功能。 此功能通过自动重置应用程序的运行时权限来帮助保护用户隐私 – 如果应用程序几个月未使用,这些权限会在用户请求时向用户显示提示。
“从 2021 年 12 月开始,我们将把它扩展到数十亿台设备,”该帖子继续说道。 “此功能将在运行 Android 6.0(API 级别 23)或更高版本且具有 Google Play 服务的设备上自动启用。 对于以 Android 11(API 级别 30)或更高版本为目标的应用,该功能将默认启用。 但是,用户可以为针对 API 级别 23 到 29 的应用程序手动启用权限自动重置。”
该博客还详细介绍了时间安排。
12 月,“权限自动重置功能将开始在运行 Android 6.0 和 Android 10 之间版本的 Google Play 服务支持的设备上逐步推出。在这些设备上,用户现在可以转到自动重置设置页面并启用 /禁用特定应用程序的自动重置。 该功能在设备上启动几周后,系统将开始自动重置未使用应用程序的权限。”
到 2022 年第一季度的某个时候,“权限自动重置功能将覆盖所有运行 Android 6.0 和 Android 10 之间版本的设备。”
坏消息:Android 不会立即提供任何保护,这意味着应用程序开发人员正急于在打击行动之前尽可能多地下载个人数据。
在这种情况下,“个人数据”有点用词不当。 不要误会我的意思:这些应用程序绝对会获取大量个人数据。 但从 IT 的角度来看,重要的是要关注应用程序也可能访问敏感企业数据的托盘这一事实。 只要您的员工/承包商继续使用未加密的通信方法与客户和合作伙伴以及其他人进行通信,您就会在网络安全和合规性方面遇到问题。
尽管如此,ImmuniWeb 的创始人、移动安全倡导者 Ilia Kolochenko 认为,Android 的举措确实是积极的一步。
“对于许多不知情的 Android 用户来说,这改变了游戏规则,他们错误地向不需要它们的移动应用程序甚至恶意软件授予了过多的权限,”Kolochenko 说。 “数以百万计的非技术用户被诱骗授予对广告软件应用程序的危险权限,甚至安装恶意应用程序,然后授予可能导致设备完全受损的所有现有权限。”
任何移动应用程序的第一道防线应该是操作系统供应商检查问题。 当然,无论是谷歌还是苹果都不愿意花钱聘请必要的员工来做这件事。 两家公司都认为,缺乏应用程序安全性对其客户来说并不是交易杀手,这意味着他们不会因为做最少的事情而损失很多销售额。
他们可能是对的。 只要 iOS 和 Android 压倒性地控制移动空间,企业实际上就没有选择,只能支持其中之一或两者。
现在,让我们看看华盛顿邮报提供的 Apple 应用程序保护领域的最新动态。 标题很好地总结了事情:“当你‘要求应用程序不要跟踪’时,一些 iPhone 应用程序仍然会继续窥探。”
以下是《华盛顿邮报》对正在发生的事情的解释:“……根据隐私软件制造商 Lockdown 和《华盛顿邮报》的研究人员进行的一项调查,在您要求不被跟踪后,会发生一些奇怪的事情。 Subway Surfers 开始向一家名为 Chartboost 的外部广告公司发送关于您 iPhone 的 29 个非常具体的数据点,包括您的互联网地址、您的免费存储空间、您当前的音量级别(精确到小数点后 3 位)甚至您的电池电量(精确到小数点后 15 位)。 广告商可以使用这种独特的数据来识别您的 iPhone,可能会让他们知道您使用的其他应用程序或如何定位您。换句话说,它正在回避您要求独处的请求。您无法阻止它 ”
这就是手机指纹识别,效果惊人。 它使供应商能够在您的设备出现在他们的雷达上时识别您的设备。 当您的 CEO 正在与潜在的收购目标进行所谓的秘密谈判时,或者如果有人正在测试尚未发布的设备时会发生什么?
Apple 似乎完全理解并要求其产品发布的隐私,并且非常重视其对隐私的投入。 然而,它对任何其他公司的秘密都非常傲慢。
Apple 告诉华盛顿邮报,它会调查这个问题并与应用程序开发人员合作,以确保一切正常。 但几个星期后,一切都没有改变。
