Uudet Google Play -kaupan säännöt voivat rohkaista tietosuojaloukkauksiin

July 20, 2022
SisäänUutiset Internet Turvallisuus

Kaikissa Google Play -sovelluksissa on pakollinen ravitsemustyylinen tietosuojamerkintä tästä päivästä alkaen.
Tunniste on tarkoitettu selittämään paremmin sovelluksen käyttöoikeudet ja tietosuojakäytännöt.
Jotkut väittävät, että kehittäjien tuottama sisältö etiketissä voi avata sovelluksille mahdollisuuden johtaa ihmisiä harhaan.

Nuori aikuinen, joka käyttää älypuhelinta istuessaan suuren rakennuksen ulkopuolella. — tommaso79 / Getty Images

Uusi Tietoturva-osio Google Play Kaupan tietosuoja-asiantuntijat ovat jakautuneet.

Tästä päivästä alkaen Google Play Kaupan sovellusten on jaettava pakollisesti tietoja tiedonkeruu- ja jakamiskäytännöistään, jotka luetellaan uudessa Tietoturva-osiossa. Kuitenkin, kuten jotkut ovat huomanneet, Google odottaa nyt ihmisten luottavan näihin kehittäjien toimittamiin tietosuojanäkökohtiin vanhan Googlen luoman tietosuojalupaluettelon sijaan.

"Tiedämme, että ohjelmistojärjestelmien itsensä tulee herättää luottamusta, jotta käyttäjät saadaan mielekkäästi mukaan sovelluskauppa, joka esittelee itsensä paljastamisen, heikentää heidän pyrkimyksiään tähän tarkoitukseen käytäntö,"

Vuk Janosevic, tietosuojaohjelmistojen toimittajan toimitusjohtaja, Blindnet, kertoi Lifewirelle sähköpostitse. "Jos kehittäjien on itse ilmoitettava, mitä tietoja he keräävät ja mihin tarkoituksiin, kysymys kuuluu: mitä Google aikoo tehdä varmistaakseen vaatimustenmukaisuuden ja oikeellisuuden?"

Avoinna väärinkäytölle

Google aloitti Tietoturva-osion käyttöönoton toukokuussa ja esitteli sen keinona antaa ihmisille enemmän tietoa lueteltujen sovellusten tiedonkeruukäytännöistä. Google ei ole ensimmäinen, joka tekee tämän, Apple julkaisi jotain vastaavaa joulukuussa 2020.

Uusi osio jakaa tarkalleen, mitä tietoja sovellus kerää, ja paljastaa, mitä tietoja se jakaa kolmansille osapuolille. Siinä kerrotaan myös sovelluksen suojauskäytännöistä ja tietoturvamekanismeista, joita sen kehittäjät käyttävät suojatakseen kerättyjä tietoja ja kertoo ihmisille, onko heillä mahdollisuus pyytää kehittäjää poistamaan keräämänsä tiedot esimerkiksi silloin, kun he lopettavat sovelluksen käytön sovellus.

Google ei kuitenkaan luota kehittäjiin tarkkojen tietojen toimittamiseen, vaan se myös luopuu vanhasta automaattisesti luotujen sovellusten käyttöoikeuksista. Keskittyminen kehittäjien toimittamiin yksityiskohtiin ei sovi joillekin tietosuojaasiantuntijoille.

"Kuluttajat eivät luota syvästi verkkojärjestelmiin nykyään", Janosevic väitti. "Yritysten ja niiden sovellusten on tehtävä ylimääräinen mailia todistaakseen, etteivät ne ole pahiksia, ja voittamaan asiakkaidensa luottamuksen."

Janosevic on samaa mieltä siitä, että muutos avaa kehittäjille mahdollisuuden vääristää aikomuksiaan ja kerätä käyttäjistään enemmän datapisteitä kuin väittävät.

"Mutta mielestäni isompi ongelma tässä on se, että Google ei pysty sääntelemään ja valvomaan näitä sääntöjä ja julkistaa, että vaatimustenmukaisuus uhkaa viime kädessä heikentää käyttäjien luottamusta markkinoihin ja siellä lueteltuihin sovelluksiin, sanoi Janosevic.

Oikea tapa

Jeff Williams, teknologiajohtaja ja yksi perustajista Contrast Security, sanoi, että siirtyminen itsevarmennettuihin tietosuojamerkintöihin on tärkeämpää kuin lupaluettelon poistaminen.

"Se on paras tapa tasapainottaa ohjelmistojen kuluttajien ja tuottajien edut ohjelmistomarkkinoilla", Williams kertoi Lifewirelle sähköpostitse. "Mielestäni tämä ja muut toimet, kuten ohjelmistojen suojausmerkinnät, joita käytetään Singapore ja Suomi, ovat todella tärkeitä."

Joku istuu kannettavan tietokoneen ääressä ja painaa sormea pöytää, jonka päällä on hehkuva lukkokuvake. — Teera Konakan / Getty Images

Ylistäessään siirtymistä ravintotyyppimerkintöihin Williams väittää, että suurin osa käyttäjistä ei kiinnittänyt paljon huomiota salaperäinen käyttöoikeusluettelo ja yksinkertaisemmat tunnisteet ovat tehokkaampia käyttäjien valintojen muokkaamisessa, kuten on havaittu useissa muissa Tuotteet.

William tuntee myötätuntoa ihmisiä kohtaan, jotka haluavat Googlen luetteloivan automaattisesti sovelluksen käyttöoikeudet, mutta uskoo, että on erittäin epätodennäköistä, että uutta järjestelmää käytetään väärin. Hän sanoi, että jokainen, joka huijaa, joutuu todennäköisesti kutsuun tai bannaan, koska erojen löytäminen ei ole vaikeaa.

"Tämä muutos ei muuta sitä tosiasiaa, että käyttäjät saavat ponnahdusikkunoita, joilla sovellukset valtuutetaan käyttämään vaarallisia käyttöoikeuksia", Williams selitti. "Jokainen, joka todella välittää, voi silti saada tämän tiedon."

Lisäksi hän huomautti, että uusi järjestelmä sallii edelleen kolmansien osapuolien tarkastelut, erityisesti viitaten OWASP Mobile Application Security Verification Standardiin (MASVS).

"Ehkä jonain päivänä pääsemme käyttämään kolmannen osapuolen etikettejä luotettavasta lähteestä, ehkä Googlesta, ehkä joltain muulta [Play Kauppaan sisäänrakennettu]", Williams sanoi. "Mutta toistaiseksi suhtaudun myönteisesti hienoon etikettiin, joka auttaa tavallisia ihmisiä ymmärtämään, kuinka heidän käyttämänsä sovellukset suojaavat heidän tietojaan."