Негізгі ұсыныстар
- Барлық Google Play қолданбалары бүгіннен бастап міндетті түрде тамақтану стиліндегі құпиялылық белгісін көрсетеді.
- Жапсырма қолданбаның рұқсаттары мен құпиялылық саясатын жақсырақ түсіндіруге арналған.
- Әзірлеуші үлес қосқан белгінің мазмұны қолданбалардың адамдарды адастыру мүмкіндігін ашуы мүмкін, дейді кейбіреулер.
Google Play Store дүкеніндегі жаңа деректер қауіпсіздігі бөлімінде құпиялылық бойынша сарапшылар екіге бөлінген.
Бүгіннен бастап Google Play Store дүкеніндегі қолданбалар деректерді жинау және бөлісу тәжірибесі туралы мәліметтерді міндетті түрде бөлісуі керек, олар жаңа «Деректердің қауіпсіздігі» бөлімінде тізімделеді. Дегенмен, кейбір адамдар байқағандай, Google енді адамдар Google жасаған құпиялылық рұқсаттарының ескі тізімінің орнына әзірлеуші берген осы құпиялылық ережелеріне сенеді деп күтеді.
Біз пайдаланушыларды мағыналы түрде тарту үшін бағдарламалық жүйелердің өздері сенім ұялатуы керек екенін білеміз және бұл мақсаттағы кез келген күш-жігерді саясат ретінде өзін-өзі ашуды ұсынатын қолданбалар дүкені кесіп тастайды », - деді Вук Яношевич, бас директор Blindnet құпиялылық бағдарламалық құралының сатушысы Lifewire-ке электрондық пошта арқылы былай деді: «Егер әзірлеушілер қандай деректерді және қандай мақсатта жинайтынын өздері жариялауы керек болса, сұрақ: сәйкестік пен дұрыстықты қамтамасыз ету үшін Google не істейді?»
Қиянат үшін ашық
Google мамыр айында «Деректердің қауіпсіздігі» бөлімін шығара бастады, оны адамдарға тізімдегі қолданбалардың деректер жинау саясаттарын көбірек көру мүмкіндігін беру тәсілі ретінде ұсынды. Google мұны бірінші жасап жатқан жоқ, Apple 2020 жылдың желтоқсанында ұқсас нәрсені шығарды.
Жаңа бөлім қолданбаның нақты қандай деректерді жинайтынын және үшінші тараптармен бөлісетін деректерін ашады. Ол сондай-ақ қолданбаның қауіпсіздік тәжірибелері мен жинақталған деректерді қорғау үшін әзірлеушілер қолданатын қауіпсіздік механизмдерін егжей-тегжейлі көрсетеді және адамдарға, мысалы, қолданбаны пайдалануды тоқтатқанда, әзірлеушіден жиналған деректерін жоюды сұрау мүмкіндігі бар-жоғын айтады.
Алайда Google нақты мәліметтерді беру үшін әзірлеушілерге сеніп қана қоймайды, сонымен қатар ол автоматты түрде жасалған қолданба рұқсаттарының ескі тізімін де жояды. Әзірлеуші ұсынатын мәліметтерге назар аудару кейбір құпиялылық сарапшыларына ұнамайды.
"Қазіргі таңда тұтынушылар онлайн жүйелерге қатты сенбейді, - деді Яношевич. "Компаниялар мен олардың қолданбалары өздерінің жаман адам емес екенін дәлелдеу және тұтынушыларының сенімін жеңу үшін қосымша миль жүруі керек."
Яносевич бұл өзгеріс әзірлеушілерге өз ниеттерін бұрмалау және пайдаланушылар туралы олар мәлімдегеннен көп деректер жинау мүмкіндігін ашатынымен келіседі.
Бірақ менің ойымша, бұл жерде ең үлкен мәселе - Google тарапынан осы ережелерді реттеп, орындаудағы және сәйкестікті жариялаудағы кез келген сәтсіздік, сайып келгенде, пайдаланушылардың нарыққа және ондағы тізімдегі қолданбаларға деген сеніміне нұқсан келтіру қаупін тудырады», - деді Яношевич..
Дұрыс жол
Джефф Уильямс, CTO және Contrast Security компаниясының негізін қалаушы, рұқсаттар тізімін жоюдан гөрі өзін-өзі растайтын құпиялылық белгілеріне ауысу маңыздырақ екенін айтты.
"Бұл бағдарламалық жасақтама нарығындағы бағдарламалық жасақтаманы тұтынушылар мен өндірушілердің мүдделерін теңестірудің ең жақсы жолы", - деді Уильямс Lifewire-ке электрондық пошта арқылы. "Менің ойымша, бұл және басқа да әрекеттер Сингапур мен Финляндияда қолданылатын бағдарламалық құралдың қауіпсіздік белгілері сияқты., шынымен маңызды.”
Тамақтану стиліндегі белгілерге ауысуды мақтай отырып, Уильямс пайдаланушылардың басым көпшілігі жиі құпия рұқсаттар тізіміне онша мән бермегенін және қарапайым белгілердің пайдаланушы таңдауын қалыптастыруда тиімдірек екенін айтады. әртүрлі басқа өнімдерде байқалады.
Уильям Google қолданбаның рұқсаттарын автоматты түрде тізімдеуін қалайтын адамдарға түсіністікпен қарайды, бірақ жаңа жүйенің теріс пайдаланылуы екіталай деп санайды. Оның айтуынша, алаяқтық жасаған кез келген адам шақырылады немесе тыйым салынуы мүмкін, өйткені сәйкессіздіктерді анықтау қиын емес.
"Бұл қадам пайдаланушылардың қолданбаларға кез келген қауіпті рұқсаттарды пайдалануға рұқсат беретін қалқымалы терезелер алатынын өзгертпейді", - деп түсіндірді Уильямс. "Бұл ақпаратты шынымен де қызықтыратын кез келген адам әлі де ала алады."
Сонымен қатар, ол жаңа схема әлі де үшінші тараптың шолуларына мүмкіндік беретінін атап өтті, әсіресе OWASP мобильді қолданбалардың қауіпсіздігін тексеру стандартына (MASVS) нұсқайды, ол қолданбаларды рұқсаттарынан тыс бірнеше қауіпсіздік аспектілерін ескере отырып мұқият тексере алады.
"Мүмкін біз бір күні сенімді дереккөзден, мүмкін Google-дан, мүмкін басқа біреуден [Play Store ішіне орнатылған] үшінші тарап белгілеріне қол жеткізерміз, - деді Уильямс. "Бірақ әзірге мен керемет белгіні құптаймын. қарапайым адамдарға олар пайдаланатын қолданбалар деректерін қалай қорғайтынын түсінуге көмектеседі.»