in Celulares

¿Realmente sabes lo que hay dentro de tus aplicaciones de iOS y Android?

Apple, iOS, Android, security

Es hora de auditar su código, ya que parece que algunas funciones sin código o con código bajo utilizadas en las aplicaciones de iOS o Android pueden no ser tan seguras como pensaba. Esa es la gran conclusión de un informe que explica que el software ruso disfrazado se está utilizando en aplicaciones del Ejército de los EE. UU., los CDC, el Partido Laborista del Reino Unido y otras entidades.

Cuando Washington se convierte en Siberia

El problema es que el código desarrollado por una empresa llamada Pushwoosh se ha implementado en miles de aplicaciones de miles de entidades. Estos incluyen los Centros para el Control y la Prevención de Enfermedades (CDC), que afirman que se les hizo creer empujarwoosh tenía su sede en Washington cuando el desarrollador, de hecho, tiene su sede en Siberia, Reuters explica. una visita a la Feed de Twitter de Pushwoosh muestra a la empresa que afirma tener su sede en Washington, DC.

La compañía proporciona soporte de código y procesamiento de datos que se puede usar dentro de las aplicaciones para perfilar lo que los usuarios de aplicaciones de teléfonos inteligentes hacen en línea y enviar notificaciones personalizadas. CleverTap, Braze, One Signal y Firebase ofrecen servicios similares. Ahora, para ser justos, Reuters no tiene pruebas de que se haya abusado de los datos recopilados por la empresa. Pero el hecho de que la empresa tenga su sede en Rusia es problemático, ya que la información está sujeta a la ley de datos local, lo que podría representar un riesgo para la seguridad.

Puede que no, por supuesto, pero es poco probable que algún desarrollador involucrado en el manejo de datos que podrían considerarse confidenciales quiera correr ese riesgo.

¿Cuál es el fondo?

Si bien hay muchas razones para sospechar de Rusia en este momento, estoy seguro de que cada nación tiene sus propios desarrolladores de componentes de terceros que pueden o no poner la seguridad del usuario en primer lugar. El desafío es descubrir cuáles lo hacen y cuáles no.

La razón por la que un código como este de Pushwoosh se usa en las aplicaciones es simple: se trata de dinero y tiempo de desarrollo. El desarrollo de aplicaciones móviles puede ser costoso, por lo que para reducir los costos de desarrollo, algunas aplicaciones usarán código estándar de terceros para algunas tareas. Hacerlo reduce los costos y, dado que nos estamos moviendo con bastante rapidez hacia entornos de desarrollo sin código o con poco código, vamos a ver más de este tipo de enfoque de ladrillos de modelado para el desarrollo de aplicaciones.

Eso está bien, ya que el código modular puede brindar enormes beneficios a las aplicaciones, los desarrolladores y las empresas, pero resalta un problema que cualquier empresa que use código de terceros debe examinar.

¿Quién es el dueño de tu código?

¿Hasta qué punto es seguro el código? ¿Qué datos se recopilan mediante el código, adónde va esa información y qué poder tiene el usuario final (o la empresa cuyo nombre aparece en la aplicación) para proteger, eliminar o administrar esos datos?

Hay otros desafíos: cuando se usa dicho código, ¿se actualiza periódicamente? ¿El código en sí sigue siendo seguro? ¿Qué profundidad de rigor se aplica al probar el software? ¿El código incorpora algún código de seguimiento de secuencias de comandos no revelado? ¿Qué cifrado se utiliza y dónde se almacenan los datos?

El problema es que, en caso de que la respuesta a alguna de estas preguntas sea «no sé» o «ninguna», los datos están en peligro. Esto subraya la necesidad de evaluaciones de seguridad sólidas en torno al uso de cualquier código de componente modular.

Los equipos de cumplimiento de datos deben probar este material rigurosamente: las pruebas «mínimas» no son suficientes.

También diría que un enfoque en el que los datos recopilados se anonimizan tiene mucho sentido. De esa manera, si se filtra alguna información, se minimiza la posibilidad de abuso. (El peligro de las tecnologías personalizadas que carecen de una protección sólida de la información en medio del intercambio es que estos datos, una vez recopilados, se convierten en un riesgo para la seguridad).

Seguramente las implicaciones de Cambridge Analytica ilustran por qué la ofuscación es una necesidad en una era conectada.

Manzana ciertamente parece entender este riesgo. Pushwoosh se utiliza en unas 8000 aplicaciones de iOS y Android. Es importante tener en cuenta que el desarrollador dice que los datos que recopila no se almacenan en Rusia, pero esto puede no protegerlos de ser exfiltrados, explican los expertos citados por Reuters.

En cierto sentido, no importa mucho, ya que la seguridad se basa en adelantarse al riesgo, en lugar de esperando que suceda el peligro. Dada la gran cantidad de empresas que quebran después de ser pirateadas, es mejor prevenir que lamentar en la política de seguridad.

Es por eso que todas las empresas cuyos equipos de desarrollo confían en el código listo para usar deben asegurarse de que el código de terceros sea compatible con la política de seguridad de la empresa. Porque es su código, con el nombre de su empresa en él, y cualquier abuso de esos datos debido a pruebas de cumplimiento insuficientes será su problema.

Por favor sígueme en Gorjeoo únete a mí en el Bar y parrilla de AppleHolic y Discusiones de Apple grupos en MeWe. Además, ahora en Mastodonte.

Derechos de autor © 2022 IDG Communications, Inc.



Fuente

aplicacionesApplecatempresaslgmacMoviepocopoco cseguridadsoftwaretecnologíateléfonos inteligentesWashington

Written by TecTop

Actualización del controlador Mwii Geforce Experience Nvidia Gpu

Cómo solucionar problemas de bloqueo de Modern Warfare 2 en PC
Los pedidos anticipados de Pokémon Scarlet y Violet obtienen grandes descuentos

Pedidos anticipados de Pokémon Scarlet y Violet con descuento antes del lanzamiento del viernes