世界杯所使用的應(yīng)用程序帶來(lái)數(shù)據(jù)安全和隱私噩夢(mèng)

據(jù)The Register消息，隨著數(shù)以萬(wàn)計(jì)安裝了面部識(shí)別技術(shù)的監(jiān)控?cái)z像頭被強(qiáng)制下載間諜軟件，即將在卡塔爾舉行的世界杯看起來(lái)更像是一場(chǎng)數(shù)據(jù)安全和隱私的噩夢(mèng)。

足球迷和其他前往卡塔爾的人必須下載兩個(gè)應(yīng)用程序：

Ehteraz 用于Covid-19跟蹤器，

Hayya 允許持票者進(jìn)入體育館，并享用免費(fèi)的地鐵和巴士交通服務(wù)。

卡塔爾的Ehteraz Covid-19跟蹤器甚至在世界杯使用之前就受到了審查，因?yàn)樗试S遠(yuǎn)程訪問(wèn)用戶的圖片和視頻，并可以在沒(méi)有提示的情況下?lián)艽螂娫挕?/p>

此外，Ehteraz 要求后臺(tái)位置服務(wù)始終處于打開(kāi)狀態(tài)，并使應(yīng)用程序能夠讀取和寫(xiě)入文件系統(tǒng)。

應(yīng)用安全公司的安全專家在接受采訪時(shí)表示，“Ehteraz能夠安裝一個(gè)加密文件，該文件聲稱包含使用該應(yīng)用的其他設(shè)備的唯一ID、二維碼、感染狀態(tài)、配置參數(shù)和鄰近數(shù)據(jù)?！薄皬谋举|(zhì)上說(shuō)，很明顯，應(yīng)用程序從最終用戶那里獲取數(shù)據(jù)的原因比給定的同意按鈕所表達(dá)的更多?！?/p>

此外，大約1.5萬(wàn)個(gè)使用人臉識(shí)別技術(shù)的攝像頭將監(jiān)控賽事和觀眾，名義上是為了確保廣大足球運(yùn)動(dòng)員和球迷的安全。但考慮到卡塔爾這個(gè)國(guó)家糟糕的人權(quán)記錄，有必要對(duì)這種監(jiān)視抱以適當(dāng)?shù)膽岩蓱B(tài)度。

當(dāng)被問(wèn)及與這兩個(gè)應(yīng)用程序有關(guān)的安全問(wèn)題時(shí)，德國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)BfDI的發(fā)言人告訴媒體，它正在與德國(guó)外交部和德國(guó)聯(lián)邦信息安全辦公室合作調(diào)查Etheraz和Hayya。

據(jù)安全專家聲稱，結(jié)論就是，如果下載這些應(yīng)用程序(前往卡塔爾、觀看世界杯就需要下載)，用戶被迫“一到卡塔爾就把所有敏感的IP奉上”。在接受這些應(yīng)用程序的條款后，信息審核員將完全控制用戶的設(shè)備。所有的個(gè)人內(nèi)容、編輯/共享/提取這些內(nèi)容以及設(shè)備上其他應(yīng)用程序的數(shù)據(jù)的能力統(tǒng)統(tǒng)落在他們的手中。信息審核員甚至可以遠(yuǎn)程解鎖用戶的設(shè)備。

卡塔爾政府監(jiān)視人員將如何利用這種不受限制的訪問(wèn)權(quán)?獨(dú)裁政權(quán)熱衷于追蹤你在其國(guó)內(nèi)遇到的人和你認(rèn)識(shí)的人。

有鑒于此，他們很可能會(huì)使用這些應(yīng)用程序來(lái)獲取你的所有聯(lián)系人資料，翻查通話和短信記錄，通過(guò)GPS和設(shè)備無(wú)線電接口(藍(lán)牙和wifi)跟蹤你的位置，還可能竊取你的社交媒體聯(lián)系資料，因此朋友和熟人也面臨信息泄露的險(xiǎn)境。

此外，一旦你接受了這些條款和條件，就算離開(kāi)了卡塔爾，這些應(yīng)用程序照樣可以繼續(xù)監(jiān)視你和你的聯(lián)系人。正如政府官員們警告的一樣，唯一真正的解決辦法是買(mǎi)一部話費(fèi)預(yù)付的一次性手機(jī)。

當(dāng)前，滿足于人們生產(chǎn)活動(dòng)所需的各式應(yīng)用程序不斷研發(fā)和推廣，且隨著對(duì)數(shù)據(jù)安全的不斷重視，在使用過(guò)程中應(yīng)用程序?qū)τ脩魯?shù)據(jù)過(guò)度采集和濫用已受到相關(guān)法律法規(guī)的約束，并且企業(yè)在開(kāi)發(fā)應(yīng)用程序時(shí)需要優(yōu)先考慮確保數(shù)據(jù)隱私和合規(guī)性。

數(shù)據(jù)隱私和合規(guī)性應(yīng)和應(yīng)用程序的創(chuàng)建過(guò)程融合在一起，不論應(yīng)用程序的外觀、設(shè)計(jì)和和性能如何，數(shù)據(jù)安全等問(wèn)題都應(yīng)該是應(yīng)用程序的核心，尤其軟件中存儲(chǔ)數(shù)據(jù)的關(guān)鍵模塊安全問(wèn)題更當(dāng)引起重視。

合規(guī)的應(yīng)用程序不僅要清楚地向用戶解釋他們的數(shù)據(jù)是如何被處理的，而且應(yīng)用還應(yīng)讓這些解釋易于訪問(wèn)。用戶需要能夠訪問(wèn)市場(chǎng)上應(yīng)用程序的元數(shù)據(jù)，以及有關(guān)應(yīng)用程序?yàn)楹慰梢赃M(jìn)入其設(shè)備的廣告標(biāo)識(shí)符(iOS IFDA、Android AAID)的任何解釋。同樣，當(dāng)應(yīng)用試圖追蹤用戶的位置或收集分析數(shù)據(jù)時(shí)，它也需要向用戶提供許可請(qǐng)求。

同時(shí)，嚴(yán)格遵守相關(guān)法律法規(guī)和應(yīng)用商店要求，擁有隱私政策和安全保證，有助于提高應(yīng)用軟件在安全性上和客戶之間的透明度，同時(shí)增加軟件產(chǎn)品的良好聲譽(yù)。

安全可靠的應(yīng)用程序有助于提高網(wǎng)絡(luò)安全，而網(wǎng)絡(luò)安全的核心問(wèn)題是保護(hù)數(shù)據(jù)。在應(yīng)用程序開(kāi)發(fā)過(guò)程中借助安全測(cè)試工具提高軟件安全性，不但可以讓開(kāi)發(fā)人員免于回溯安全漏洞及缺陷的麻煩，而且可以增強(qiáng)軟件保護(hù)數(shù)據(jù)能力，利于加強(qiáng)網(wǎng)絡(luò)安全。

參考來(lái)源：

https://www.theregister.com/2022/11/11/world_cup_security/