在 App Store 中销售应用程序时,Apple 需要更加积极地监管它。 与此同时,企业用户可以做些什么来保护自己和他们的用户?
有什么问题?
一些开发者继续滥用苹果 App Store 隐私规则的精神。 这扩展到在应用程序隐私标签上发布误导性信息,以及公然违反不跟踪设备的承诺。 一些开发人员继续忽略不跟踪请求以泄露设备跟踪信息。
最近推出了自己的数字广告网络的《华盛顿邮报》发现了多起流氓 App Store 应用未能维护用户隐私承诺的实例。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
当用户表示他们不希望应用程序跟踪他们时,应用程序应尊重该请求。 但该报告引用了许多案例,在这些案例中,无论用户请求什么,应用程序都会继续收集相同的信息。 报告称,这些数据可能会出售给第三方数据跟踪公司,或用于提供有针对性的广告。 它没有说的是,不尊重用户的意愿是对信任的背叛。
有什么帮助?
邮报采访了前 iCloud 工程师 Johnny Lin,他认为:“在停止第三方跟踪器方面,App Tracking Transparency 毫无用处。 更糟糕的是,让用户可以选择点击‘要求应用程序不要跟踪’按钮,甚至可能会给用户一种虚假的隐私感。”
这是一个严厉的批评,观察到林对这里有兴趣似乎是恰当的。 他的公司开发了 Lockdown,它可以在所有应用程序中阻止“跟踪、广告和恶意软件”,而不仅仅是 Safari。 也许苹果应该采用同样的方法。 但考虑到该公司在推出 App Tracking Transparency 时面临数月的阻力,以 Apple 的规模实现这一目标需要时间。 监视资本主义有很多钱可以用来反对这样的计划; 就目前而言,用户,尤其是企业用户,应该采取措施保护自己。
我们确实需要一些教育
另一种方法是教育。 每次我们看到隐私问题出现时,我们似乎也遇到这样的说法,即许多此类流氓应用程序以针对休闲游戏玩家和儿童的小型娱乐游戏的形式出现。
当然,一个主动抓取数据的应用程序并不介意是父母安装了应用程序,还是父母的孩子使用借来的智能手机。
用户确实需要学会辨别他们使用的应用程序。 当谈到基于儿童的纠缠力时,我认为最安全的方法是使用 Apple Arcade,让您的孩子在那里玩他们想玩的任何东西。 这并不理想,但它是一种限制风险的方法。
拥抱(但验证)灰色 IT 应用程序
第三种应该起作用的方法是政策制定。 企业应密切关注员工在其设备上使用的应用程序,以确保它们通过了安全策略。
企业部分应该增加 MDM 系统和托管 Apple ID 的使用,而企业确实应该与员工密切合作,以确定他们使用的应用程序。 许多公司现在都存在员工用来完成工作的灰色 IT、应用程序和服务的问题,因为这些系统比公司提供的工具更好用。 在大多数情况下,禁止是行不通的。
更好的方法是识别这些应用程序并根据公司安全政策对其进行审查,并透明地解释为什么某些应用程序不能使用。 这必须与工作相结合,以确保您自己的应用程序至少与灰色市场替代品一样易于使用。 这种开启的方法比专制命令更有效地增强了团队中的个人自主权。 这个想法是,通过与团队合作,您最终会拥有一个更安全的空间。 您可以使用经典的 MDM 解决方案对此进行补充。
业力警察
但最重要的是警务。 苹果已经表示,它将与未能遵守隐私承诺的开发者合作,但或许它需要加强这种做法。 我认为它应该根据他们做出的隐私承诺主动监控所有应用程序,以确保他们履行这些承诺。
那些不应该被删除。
仅审查外部各方识别的特定应用程序也是不够的。 如果发现开发人员在一个应用程序上滥用隐私,则应检查他们的所有应用程序。
受过教育的消费者和安全研究人员可以为此提供帮助,使用 Little Snitch、Lockdown、Jumbo、Disconnect.me 等应用程序以及一系列其他应用程序来监控应用程序生成的活动。 如果一款应用程序承诺提供隐私,那么它就应该被追究责任,这样做的一种方法是使用此类应用程序来监控隐私泄露,并在您发现未经您许可泄露数据的应用程序时告知 Apple。
这种方法——了解风险,与你的内部团队(家庭、员工、孩子)合作来管理和最小化风险,以及积极尝试识别未能遵守隐私承诺的应用程序——应该有助于让环境更具挑战性 攻击。
接下来会发生什么
尽管 Apple 做出了努力,但现在发生的事情是,当我们在 App Store 上考虑应用程序的隐私政策时,我们会产生一种错误的安全感。 当应用开发者承诺不会窃取我们的信息,或者当我们要求他们不要跟踪我们时,我们倾向于相信他们。 对于 Apple,下一步可能是审查和验证其销售的所有应用程序,以确保它们遵守其做出的隐私承诺。
在我看来,隐私欺诈与任何其他类型的欺诈一样糟糕。 Apple 已经针对欺诈行为对其应用程序进行监管,去年拒绝了 150,000 个垃圾邮件、山寨版或误导用户的应用程序。
