Saatnya mengaudit kode Kamu, karena tampaknya beberapa fitur tanpa kode/kode rendah yang digunakan di aplikasi iOS atau Android mungkin tidak seaman yang Kamu kira. Itulah gambaran besar dari sebuah laporan yang menjelaskan bahwa perangkat lunak Rusia yang disamarkan digunakan dalam aplikasi dari Angkatan Darat AS, CDC, Partai Buruh Inggris, dan entitas lainnya.
Ketika Washington menjadi Siberia
Yang menjadi masalah adalah bahwa kode yang dikembangkan oleh sebuah perusahaan bernama Pushwoosh telah digunakan dalam ribuan aplikasi dari ribuan entitas. Ini termasuk Pusat Pengendalian dan Pencegahan Penyakit (CDC), yang mengklaim hal itu dituntun untuk percaya Pushwoosh berbasis di Washington padahal pengembang sebenarnya berbasis di Siberia, Reuters menjelaskan. Kunjungan ke Umpan Twitter Pushwoosh menunjukkan perusahaan yang mengaku berbasis di Washington, DC.
Perusahaan menyediakan dukungan pemrosesan kode dan data yang dapat digunakan di dalam aplikasi untuk membuat profil tentang apa yang dilakukan pengguna aplikasi smartphone secara online dan mengirim notifikasi yang dipersonalisasi. CleverTap, Braze, One Signal, dan Firebase menawarkan layanan serupa. Sekarang, agar adil, Reuters tidak memiliki bukti bahwa data yang dikumpulkan oleh perusahaan telah disalahgunakan. Tetapi fakta bahwa perusahaan tersebut berbasis di Rusia bermasalah, karena informasi tunduk pada undang-undang data lokal, yang dapat menimbulkan risiko keamanan.
Mungkin tidak, tentu saja, tetapi tidak mungkin pengembang mana pun yang terlibat dalam menangani data yang dapat dianggap sensitif ingin mengambil risiko itu.
Apa latar belakangnya?
Meskipun ada banyak alasan untuk curiga terhadap Rusia saat ini, saya yakin setiap negara memiliki pengembang komponen pihak ketiga sendiri yang mungkin atau mungkin tidak mengutamakan keamanan pengguna. Tantangannya adalah mencari tahu mana yang melakukan, dan mana yang tidak.
Alasan kode seperti ini dari Pushwoosh digunakan dalam aplikasi sederhana: ini tentang uang dan waktu pengembangan. Pengembangan aplikasi seluler bisa jadi mahal, jadi untuk mengurangi biaya pengembangan, beberapa aplikasi akan menggunakan kode siap pakai dari pihak ketiga untuk beberapa tugas. Melakukan hal itu mengurangi biaya, dan, mengingat kita bergerak cukup cepat menuju lingkungan pengembangan tanpa kode/kode rendah, kita akan melihat lebih banyak pendekatan modelling-brick semacam ini untuk pengembangan aplikasi.
Tidak apa-apa, karena kode modular dapat memberikan manfaat besar bagi aplikasi, pengembang, dan perusahaan, tetapi ini menyoroti masalah yang harus diperiksa oleh perusahaan mana pun yang menggunakan kode pihak ketiga.
Siapa pemilik kode Kamu?
Sejauh mana kode aman? Data apa yang dikumpulkan menggunakan kode, ke mana informasi itu pergi, dan kekuatan apa yang dimiliki pengguna akhir (atau perusahaan yang namanya ada di aplikasi) untuk melindungi, menghapus, atau mengelola data itu?
Ada tantangan lain: Saat menggunakan kode seperti itu, apakah kode tersebut diperbarui secara berkala? Apakah kode itu sendiri tetap aman? Berapa kedalaman ketelitian yang diterapkan saat menguji perangkat lunak? Apakah kode menyematkan kode pelacakan skrip yang dirahasiakan? Enkripsi apa yang digunakan dan di mana data disimpan?
Masalahnya adalah jika jawaban untuk salah satu pertanyaan ini adalah “tidak tahu” atau “tidak ada”, maka data tersebut berisiko. Ini menggarisbawahi perlunya penilaian keamanan yang kuat seputar penggunaan kode komponen modular apa pun.
Tim kepatuhan data harus menguji hal ini secara ketat — pengujian “minimal” saja tidak cukup.
Saya juga berpendapat bahwa pendekatan di mana setiap data yang dikumpulkan dianonimkan sangat masuk akal. Dengan begitu, jika ada kebocoran informasi, kemungkinan penyalahgunaan diminimalkan. (Bahaya dari teknologi yang dipersonalisasi yang tidak memiliki perlindungan informasi yang kuat di tengah pertukaran adalah data ini, setelah dikumpulkan, menjadi risiko keamanan.)
Tentunya implikasi dari Cambridge Analytica menggambarkan mengapa kebingungan adalah suatu keharusan di zaman yang terhubung?
apel tentu tampaknya memahami risiko ini. Pushwoosh digunakan di sekitar 8.000 aplikasi iOS dan Android. Penting untuk dicatat bahwa pengembang mengatakan data yang dikumpulkannya tidak disimpan di Rusia, tetapi ini mungkin tidak melindunginya dari eksfiltrasi, para ahli yang dikutip oleh Reuters menjelaskan.
Dalam arti tertentu, itu tidak masalah, karena keamanan didasarkan pada risiko yang mendahului, bukan menunggu bahaya terjadi. Mengingat banyaknya perusahaan yang bangkrut setelah diretas, lebih baik aman daripada menyesal dalam kebijakan keamanan.
Itu sebabnya setiap perusahaan yang tim pengembangnya mengandalkan kode siap pakai harus memastikan bahwa kode pihak ketiga kompatibel dengan kebijakan keamanan perusahaan. Karena itu kode Kamu, dengan nama perusahaan Kamu di dalamnya, dan penyalahgunaan data apa pun karena pengujian kepatuhan yang tidak memadai akan menjadi masalah Kamu.
Silakan ikuti saya di Twitteratau bergabunglah dengan saya di Bar & panggangan AppleHolic dan Diskusi Apel grup di MeWe. Juga, sekarang Mastodon.
Post By 2022 admin, Inc.
