Njuškalo blog Novosti

Znate li za rizike u razvoju i korištenju mobilnih aplikacija?

TRI KLJUČNA PROBLEMA

Strelovitom razvoju mobilnih aplikacija, kao i njihovoj brojnosti, različiti su razlozi. Neke od njih osnovni su proizvodi određenih tvrtki ili start up-ova, neke su samo pojednostavljene i prilagođene mobilne verzije komercijalnih proizvoda ili usluga, a tu su i interne aplikacije sa svrhom olakšavanja procesa odabrane tvrtke ili radne skupine.

Neovisno o razlogu nastajanja, proizvođači mobilnih aplikacija dijele zabrinutost oko sigurnosti korištenja, koja nije upitna kod nekih drugih oblika software-a. Kako bi se potencijalni problemi pri korištenju sveli na minimum, proizvođači, ali i krajnji korisnici trebaju biti svjesni tri ključna rizika.

  1. App store servisi – odgađanje procesa se ne preporuča

Mobilne aplikacije uglavnom se distribuiraju putem app store servisa, kako onih javnih poput Appleova ili Google Playa, tako i specijaliziranih internih servisa. Kod prodaje ili distribucije aplikacije putem javnih servisa važno je znati da je potrebno vrijeme za potvrdu od strane samog servisa, koji ne garantira sigurnost za sam proizvod. Ako aplikacija ima rizik slabije sigurnosti u svom kodu, koliko brzo može nova, ispravljena verzija biti ispravljena i isporučena krajnjim korisnicima?

Budući da je riječ o javnom servisu, to može potrajati i tjednima, a dodatni se problem javlja i kod uvjeravanja krajnih korisnika na preuzimanje nadograđene verzije. Ovisno o vrsti rizika, ovo može biti iznimno velik problem. Aplikacije koje imaju serverske komponente morale bi imati i provjeru verzije na uređajima korisnika kao i jednostavan način onesposobljavanja sporne verzije ukoliko je nadogradnja nužna. Ako je, pak, priječ o 100 posto korisnika aplikacije, ovaj će proces biti teško izvediv.

  1. Čija je odgovornost za privatnost podataka korisnika ako je uključena treća strana

Mobilne aplikacije često su nadograđene bibliotekama kodova „trećih strana“. Analitički servisi, prijave padova, oglasi i neželjene poruke samo su dio featurea koje aplikacija implementira uz korištenje njihovih kodova. Ti kodovi ugrađuju se u konkretnu aplikaciju na uređaju korisnika i potencijalno sudjeluju u izvršavanju akcija na samoj aplikaciji.

Ove aktivnosti „trećih strana“ mogu izložiti samog proizvođača aplikacije nepoznatim ili neočekivanim pravnim rizicima. Kako bi se ovaj problem pokušao izbjeći, primjerice, u Velikoj Britaniji ICO (Information Commissioner’s Office) je izdao vodič za developere mobilnih aplikacija iz kojeg je jasno da su IMEI i MAC brojevi (za mobilne uređaje) te drugi tehnički identifikatori pokriveni Data Protection Act-om i moraju biti tretirani kao privatni podaci. Neke biblioteke kodova „trećih strana“ provjeravaju čemu sve pristup aplikacije imaju i provjeravaju njihovu dostupnost. Tako, primjerice, mogu zatražiti pristup IMEI brojevima, čime aplikacija dijeli privatne podatke sa „trećom stranom“. Ovakva aktivnost možda i nije pokrivena u uvijetima korištenja na koje korisnici pristaju pa time i postaje važan razlog za nadogradnju aplikacije.

  1. „Zamagljivanje“ kodova od treće strane

Treća strana, sa bibiliotekom kodova na aplikaciji, može u specifičnoj situaciji promijeniti ponašanje u kodovima bez ikakve akcije od strane samog vlasnika aplikacije. Najbolji primjer tomu su aplikacije za online shopping prilikom pada ili greške u funkcioniranju. Softver za prijavu pada isprva od aplikacije traži dozvolu za lociranje uređaja na kojemu se dogodila greška u aplikaciji, ne dobiva ju i šalje izvješće bez lokacije. Potom sama aplikacija dodaje mogućnost pronalaska najbliže fizičke trgovine, za koju je lokacija potrebna te od korisnika dobiva dozvolu.

Ovo je korisno za samu aplikaciju radi nove mogućnosti i ona podatke o lokaciji čuva sa sigurnošću. Ali, kada aplikacija sljedeći put padne, softver za prijavu pada, odnosno „treća strana“ također ima pristup tim podacima. Tvrtka, vlasnik aplikacije, potom će primati informacijsku lokaciju u izvješću o padu, koje nije zaštićeno i pohranjeno je uz razne tehničke detalje. Developeri često nisu svjesni da je ovakva nova mogučnost apllikacije zapravo stvorila problem jer im je biblioteka kodova „treće strane“ nevidljiva. Nadogradnja je u ovom slučaju svakako nužna.

Kako postupiti?

Razvijanje mobilnih aplikacija uključuje puno više strana od samo tvrtke koja ispisuje aplikaciju. Javni servisi za prodaju aplikacija i sve ostale „treće strane“ koje doprinose kodovima mogu stvoriti rizike po privatnost podataka korisnika. Važan prvi korak, stoga, je praćenje koje su treće strane svojim kodovima uključene u samu aplikaciju. Ta spoznaja omogućuje proizvođaču aplikacije praćenje osjetljivosti privatnih podataka u promjenama u kodovima, implementiranje sigurnijih verzija i plasiranje nadograđenih verzija u servise za prodaju aplikacija.

A što Njuškalo čini?

Korisnici Njuškalovih aplikacija za Android i iOS pametne telefone i tablete već su mogli primjetiti redovite zahtjeve za preuzimanje kvalitetnijih i sigurnijih verzija, koje u stopu prate trendove brzorastuće moderne tehnologije. Naime, upravo iz navedenih rizika, a u cilju očuvanja sigurnosti i podataka korisnika, Njuškalo redovito nadograđuje svoju aplikaciju za iOS i Android mobilne uređaje, kako bi se korisnici bez straha mogli služiti svim njezinim funkcionalnostima i prednostima.

Njušim li ja to tvoj komentar?