لقد حان الوقت لمراجعة التعليمات البرمجية الخاصة بك لأنه يبدو أن بعض الميزات التي لا تحتوي على تعليمات برمجية أو تحتوي على تعليمات برمجية منخفضة المستخدمة في تطبيقات iOS أو Android قد لا تكون آمنة كما كنت تعتقد. هذه هي النتيجة الكبيرة من تقرير يشرح أن البرامج الروسية المقنعة تُستخدم في التطبيقات من قبل الجيش الأمريكي، ومركز السيطرة على الأمراض، وحزب العمال البريطاني، وكيانات أخرى.
عندما تصبح واشنطن سيبيريا
المشكلة هي أن الكود الذي طورته شركة تدعى Pushwoosh تم نشره في آلاف التطبيقات بواسطة آلاف الكيانات. وتشمل هذه المراكز مراكز السيطرة على الأمراض والوقاية منها (CDC)، التي تقول إنها قادت إلى الاعتقاد بأن بوشووش كان مقره في واشنطن عندما كان المطور موجودًا بالفعل في سيبيريا، حسبما توضح رويترز. تُظهر زيارة موجز Twitter الخاص بـ Pushwoosh أن الشركة تدعي أن مقرها في واشنطن العاصمة.
توفر الشركة دعمًا لمعالجة التعليمات البرمجية والبيانات التي يمكن استخدامها في التطبيقات لتكوين ملف تعريف لما يفعله مستخدمو تطبيقات الهواتف الذكية عبر الإنترنت وإرسال إشعارات مخصصة. تقدم CleverTap وBraze وOne Signal وFirebase خدمات مماثلة. الآن، لكي نكون منصفين، ليس لدى رويترز أي دليل على أن البيانات التي جمعتها الشركة قد تم إساءة استخدامها. لكن حقيقة أن مقر الشركة في روسيا يمثل مشكلة، حيث تخضع المعلومات لقوانين البيانات المحلية، مما قد يشكل خطرًا أمنيًا.
قد لا يكون هذا هو الحال بالطبع، ولكن المطور المشارك في معالجة البيانات التي يمكن اعتبارها حساسة من غير المرجح أن يرغب في تحمل هذه المخاطرة.
ما هي الخلفية؟
على الرغم من وجود العديد من الأسباب التي تدعو إلى الحذر من روسيا في الوقت الحالي، فأنا متأكد من أن كل دولة لديها مطورو مكونات الطرف الثالث الذين قد يمنحون أو لا يمنحون الأولوية لأمن المستخدم. التحدي هو معرفة أي منها يفعل وأي منها لا يفعل.
السبب وراء استخدام كود Pushwoosh في التطبيقات بسيط: فهو يتعلق بالمال ووقت التطوير. يمكن أن يكون تطوير تطبيقات الهاتف المحمول مكلفًا، لذا لتقليل تكاليف التطوير، ستستخدم بعض التطبيقات تعليمات برمجية قياسية تابعة لجهة خارجية لمهام معينة. يؤدي هذا إلى خفض التكاليف، وبما أننا نتحرك نحو بيئات التطوير التي لا تحتوي على تعليمات برمجية/منخفضة التعليمات البرمجية بسرعة إلى حد ما، فسنرى المزيد من هذا النوع من نهج النمذجة التقليدية لتطوير التطبيقات.
وهذا أمر جيد، لأن التعليمات البرمجية المعيارية يمكن أن توفر فوائد كبيرة للتطبيقات والمطورين والشركات، ولكنها تسلط الضوء على مشكلة يجب على أي شركة تستخدم تعليمات برمجية لجهة خارجية أن تكون على دراية بها.
من يملك الكود الخاص بك؟
ما مدى أمان الرمز؟ ما هي البيانات التي يجمعها الكود، وأين تذهب هذه المعلومات، وما هي السلطة التي يتمتع بها المستخدم النهائي (أو الشركة التي يظهر اسمها في التطبيق) لحماية هذه البيانات أو حذفها أو إدارتها؟
هناك تحديات أخرى: عند استخدام مثل هذا الكود، هل يتم تحديثه بشكل دوري؟ هل لا يزال الرمز نفسه آمنًا؟ ما مدى الدقة المطبقة عند اختبار البرامج؟ هل يشتمل الكود على كود تتبع البرنامج النصي غير المكشوف عنه؟ ما هو التشفير المستخدم وأين يتم تخزين البيانات؟
المشكلة هي أنه إذا كانت الإجابة على أي من هذه الأسئلة هي "لا أعرف" أو "لا شيء"، فإن بياناتك معرضة للخطر. وهذا يؤكد الحاجة إلى تقييمات أمنية قوية حول استخدام أي رمز مكون معياري.
يجب على فرق امتثال البيانات اختبار هذه العناصر بدقة - فالاختبار "الحد الأدنى" ليس كافيًا.
أود أيضًا أن أقول إن النهج الذي تكون فيه جميع البيانات المجمعة مجهولة المصدر أمر منطقي للغاية. وبهذه الطريقة، في حالة تسرب المعلومات، يتم تقليل خطر سوء الاستخدام. (إن خطر التقنيات المخصصة التي تفتقر إلى الحماية القوية للمعلومات في منتصف عملية التبادل هو أن هذه البيانات، بمجرد جمعها، تصبح خطراً أمنياً).
من المؤكد أن الآثار المترتبة على كامبريدج أناليتيكا توضح سبب كون التشويش ضرورة في عصر متصل.
ويبدو أن شركة آبل تدرك بالتأكيد هذا الخطر. يُستخدم Pushwoosh في حوالي 8000 تطبيق على نظامي iOS وAndroid. والأهم من ذلك، أن المطور يدعي أن البيانات التي يجمعها لا يتم تخزينها في روسيا، لكن هذا قد لا يحميها من التسلل، كما يقول الخبراء الذين نقلت رويترز عنهم.
بمعنى ما، هذا لا يهم كثيراً، لأن السلامة تعتمد على توقع المخاطر، بدلاً من انتظار حدوث الخطر. ونظراً للعدد الكبير من الشركات التي تفلس بعد تعرضها للاختراق، فإن الوقاية خير من العلاج عندما يتعلق الأمر بالسياسات الأمنية.
ولهذا السبب، يجب على جميع الشركات التي تعتمد فرق التطوير لديها على تعليمات برمجية جاهزة أن تتأكد من توافق تعليمات برمجية الطرف الثالث مع سياسة الأمان الخاصة بالشركة. لأنه الرمز الخاص بك، مع اسم شركتك، وأي إساءة استخدام لتلك البيانات بسبب عدم كفاية اختبارات الامتثال ستكون مشكلتك.
اتبعني على Twitter أو انضم إلي في AppleHolic's bar & Grill ومجموعات مناقشة Apple على MeWe. أيضا، الآن على Mastodon.
حقوق النشر © 2022 IDG Communications، Inc.