iOSやAndroidのアプリの中身を本当に把握していますか?
米軍、CDC、英国労働党などが使用する数千のiOS/Androidアプリにロシアのソフトウェアが使用されているとする報告書が発表されました。あなたのコードを監査する時期が来たのでしょうか?
iOSやAndroidアプリで使用されているノー/ローコード機能の中には、思ったほど安全でないものがあるようです。これは、米国陸軍、CDC、英国労働党などのアプリにロシアの偽装ソフトウェアが使用されていることを説明した報告書からの大きな収穫です。
ワシントンがシベリアになるとき
問題になっているのは、Pushwooshという会社が開発したコードが、何千もの団体の何千ものアプリの中に展開されていることです。ロイター通信によると、この中には疾病管理予防センター(CDC)も含まれており、開発元がシベリアにあるのに、Pushwooshがワシントンに拠点を置いていると思い込まされたと主張しています。PushwooshのTwitterフィードを見ると、同社はワシントンDCに拠点を置いていると主張していることがわかります。
スマートフォンアプリのユーザーのオンライン上での行動をプロファイルし、パーソナライズされた通知を送るための、アプリ内で使用可能なコードとデータ処理サポートを提供する会社です。CleverTap、Braze、One Signal、Firebaseが同様のサービスを提供している。さて、公平を期すため、ロイターは同社が収集したデータが悪用された証拠を掴んでいない。しかし、同社がロシアに拠点を置いていることは問題であり、情報は現地のデータ法の適用を受けるため、セキュリティ上のリスクが生じる可能性がある。
もちろん、そうではないかもしれませんが、機密とみなされる可能性のあるデータの取り扱いに携わる開発者が、そのリスクを負うことを望むとは思えません。
その背景は?
ロシアを疑うべき理由はたくさんありますが、どの国にもユーザーのセキュリティを第一に考えるサードパーティーコンポーネントの開発者がいることは確かです。課題は、どの開発者がユーザーのセキュリティを第一に考えていて、どの開発者がそうでないかを見極めることです。
このようなPushwooshのコードがアプリケーションに使用される理由は簡単です:お金と開発時間の問題です。モバイルアプリケーションの開発にはコストがかかるため、開発コストを削減するために、一部のアプリケーションではサードパーティーから提供された既製のコードを一部のタスクに使用します。そうすることでコストを削減し、ノーコード/ローコード開発環境へと急速に移行していることから、このようなモデリングブリックアプローチのアプリ開発がより多く見られるようになるでしょう。
モジュール化されたコードは、アプリ、開発者、そして企業に大きな利益をもたらすので、それは良いのですが、サードパーティのコードを使用する企業が検討しなければならない問題を浮き彫りにしています。
あなたのコードは誰のものですか?
コードの安全性はどの程度まで確保されているか?また、エンドユーザー(またはアプリに名前が記載されている企業)はそのデータを保護、削除、管理するためにどのような力を持つのでしょうか?
他にも課題があります。そのようなコードを使用する場合、定期的に更新されているのか?コードそのものは安全なままか?ソフトウェアをテストする際、どの程度の厳密さが適用されているか?コードに未公開のスクリプト追跡コードが埋め込まれていないか?どのような暗号化が施され、データはどこに保存されているか?
問題は、これらの質問の答えのいずれかが「わからない」または「ない」場合、データが危険にさらされることです。このことは、モジュラー・コンポーネント・コードの使用に関する強固なセキュリティ評価の必要性を明確に示しています。
データコンプライアンスチームは、このようなものを厳密にテストする必要があります。「最低限のテスト」だけでは十分ではありません。
また、収集されたデータはすべて匿名化されるというアプローチも非常に理にかなっていると思います。そうすれば、万が一情報が漏れたとしても、悪用される可能性を最小限に抑えることができます。(情報交換の途中で強固な情報保護を欠くパーソナライズド・テクノロジーは、一度収集したデータがセキュリティリスクとなる危険性があるのです)。
ケンブリッジ・アナリティカが示唆したことは、なぜ難読化が接続された時代に必要なのかを示しているのではないでしょうか。
Appleは確かにこのリスクを理解しているようです。Pushwooshは、約8,000のiOSおよびAndroidアプリで使用されています。注意すべきは、開発元が収集したデータはロシアに保存されないとしていることだが、これでは流出から守れない可能性があると、ロイターが引用した専門家は説明している。
セキュリティは、危険が起こるのを待つのではなく、危険を先取りすることが基本なので、ある意味、あまり重要ではありません。ハッキングを受けて倒産する企業の数が膨大であることを考えると、セキュリティ対策は「転ばぬ先の杖」である。
そのため、開発チームが既製のコードに依存している企業は、サードパーティのコードが会社のセキュリティポリシーに適合していることを確認する必要があります。なぜなら、それはあなたのコードであり、あなたの会社の名前が入っているからです。コンプライアンス・テストが不十分なためにデータが悪用されれば、それはあなたの問題になるからです。
Twitterでフォローしたり、MeWeのAppleHolic’s bar & grillやApple Discussionsのグループにも参加してください。また、現在Mastodonで