世界杯所使用的应用程序带来数据安全和隐私噩梦
据The Register消息,随着数以万计安装了面部识别技术的监控摄像头被强制下载间谍软件,即将在卡塔尔举行的世界杯看起来更像是一场数据安全和隐私的噩梦。
足球迷和其他前往卡塔尔的人必须下载两个应用程序:
Ehteraz 用于Covid-19跟踪器,
Hayya 允许持票者进入体育馆,并享用免费的地铁和巴士交通服务。
卡塔尔的Ehteraz Covid-19跟踪器甚至在世界杯使用之前就受到了审查,因为它允许远程访问用户的图片和视频,并可以在没有提示的情况下拨打电话。
此外,Ehteraz 要求后台位置服务始终处于打开状态,并使应用程序能够读取和写入文件系统。
应用安全公司的安全专家在接受采访时表示,“Ehteraz能够安装一个加密文件,该文件声称包含使用该应用的其他设备的唯一ID、二维码、感染状态、配置参数和邻近数据。”“从本质上说,很明显,应用程序从最终用户那里获取数据的原因比给定的同意按钮所表达的更多。”
此外,大约1.5万个使用人脸识别技术的摄像头将监控赛事和观众,名义上是为了确保广大足球运动员和球迷的安全。但考虑到卡塔尔这个国家糟糕的人权记录,有必要对这种监视抱以适当的怀疑态度。
当被问及与这两个应用程序有关的安全问题时,德国数据保护机构BfDI的发言人告诉媒体,它正在与德国外交部和德国联邦信息安全办公室合作调查Etheraz和Hayya。
据安全专家声称,结论就是,如果下载这些应用程序(前往卡塔尔、观看世界杯就需要下载),用户被迫“一到卡塔尔就把所有敏感的IP奉上”。在接受这些应用程序的条款后,信息审核员将完全控制用户的设备。所有的个人内容、编辑/共享/提取这些内容以及设备上其他应用程序的数据的能力统统落在他们的手中。信息审核员甚至可以远程解锁用户的设备。
卡塔尔政府监视人员将如何利用这种不受限制的访问权?独裁政权热衷于追踪你在其国内遇到的人和你认识的人。
有鉴于此,他们很可能会使用这些应用程序来获取你的所有联系人资料,翻查通话和短信记录,通过GPS和设备无线电接口(蓝牙和wifi)跟踪你的位置,还可能窃取你的社交媒体联系资料,因此朋友和熟人也面临信息泄露的险境。
此外,一旦你接受了这些条款和条件,就算离开了卡塔尔,这些应用程序照样可以继续监视你和你的联系人。正如政府官员们警告的一样,唯一真正的解决办法是买一部话费预付的一次性手机。
当前,满足于人们生产活动所需的各式应用程序不断研发和推广,且随着对数据安全的不断重视,在使用过程中应用程序对用户数据过度采集和滥用已受到相关法律法规的约束,并且企业在开发应用程序时需要优先考虑确保数据隐私和合规性。
数据隐私和合规性应和应用程序的创建过程融合在一起,不论应用程序的外观、设计和和性能如何,数据安全等问题都应该是应用程序的核心,尤其软件中存储数据的关键模块安全问题更当引起重视。
合规的应用程序不仅要清楚地向用户解释他们的数据是如何被处理的,而且应用还应让这些解释易于访问。用户需要能够访问市场上应用程序的元数据,以及有关应用程序为何可以进入其设备的广告标识符(iOS IFDA、Android AAID)的任何解释。同样,当应用试图追踪用户的位置或收集分析数据时,它也需要向用户提供许可请求。
同时,严格遵守相关法律法规和应用商店要求,拥有隐私政策和安全保证,有助于提高应用软件在安全性上和客户之间的透明度,同时增加软件产品的良好声誉。
安全可靠的应用程序有助于提高网络安全,而网络安全的核心问题是保护数据。在应用程序开发过程中借助安全测试工具提高软件安全性,不但可以让开发人员免于回溯安全漏洞及缺陷的麻烦,而且可以增强软件保护数据能力,利于加强网络安全。
参考来源:
https://www.theregister.com/2022/11/11/world_cup_security/