TikTok, FaceApp, titkos napló - minek van helye a céges telefonon?

2020-07-15


A koronavírus miatt elrendelt kijárási korlátozás egyik nagy nyertese a Tik-tok nevű kínai videómegosztó alkalmazás volt. Az app rohamos ütemben fejlődött, a kijárási korlátozás alatt pedig a főként tinikből álló közösség mellett a felnőttek is felfedezték maguknak a vicces kisfilmek világát. Mára már a cégek is megjelentek a videó megosztón, hogy a marketingjüket színesítsék. De vajon van keresnivalója egy ilyen alkalmazásnak a céges telefonon?

Kémprogramot telepítünk?

A TikTok háza tája soha nem volt mentes a botrányoktól. Az alkalmazás a jelenlegi formájában 2018 óta elérhető a világ minden táján iOS és Android platformokon. A videó megosztót jegyző ByteDance nevű cég viszont már 2012 óta fejleszt hasonló programot kínában Douyin néven. 2017-ben a vállalkozó megszerezte a Musical.ly nevű social media csatornát is, ahol a felhasználók (zömmel tinédzserek) zenés videókat tölthettek fel és versenyezhettek a népszerűségért. 

Több ország fontolgatja, hogy betiltja az applikáció használatát

Az első nagyobb vihart az kavarta, hogy kiderült, hogy sem a Musical.ly, sem a TikTok nem erőltette meg magát különösebben, hogy megbízhatóan ellenőrizze a felhasználók életkorát. Az ByteDance ezért 5,7 millió dolláros bírságot kapott az amerikai ügyészségtől, mondván, jogszerűtlenül tárolta fiatalkorú userek adatait. 

Nem sokkal később néhány hacker kihasznált egy óriási kiskaput. A biztonsági résen keresztül be tudtak lépni más felhasználók fiókjaiba. Az account elfoglalása után a hackerek képesek voltak törölni vagy feltölteni videókat a felhasználó nevében. Hozzáfértek a még nem publikált videókhoz is, ezzel sokakat kellemetlen helyzetbe hoztak. 

Steve Huffman, a Reddit vezérigazgatója magát a TikTokot is kémprogramnak bélyegezte, Indiában betiltották a szoftver használatát, és több ország, így az Egyesült Államok is hasonló lépést tervez. 

Egyedül a TikTok a probléma?

A TikTok valóban az extrém példák közé tartozik, ha kockázatos szoftverekről van szó - viszont korántsem az egyetlen olyan alkalmazás, amivel nem stimmelt valami. Egy tanulmány szerint a PlayStore-ból letölthető Androidos applikációk 14%-kának van valamilyen adatvédelmi hiányossága.

A tanulmány megjegyzi: a felhasználási feltételeket sok applikáció internetes minta alapján generálja. Innen származnak az ellentmondások

A legtöbb probléma abból adódik, hogy a programok különböző hozzáféréseket kérnek a telefon eszközeihez, erről viszont sokszor elfelejtik tájékoztatni a felhasználót. Elképzelhető például, hogy a szoftver képes olvasni a telefon vágólapját, vagyis olyan szövegekre, képekre is “rálátása” van, amelyeket a felhasználó egészen más platformra szánt volna. Bár az alkalmazás maga kér engedélyt a telefontól például a kamerához vagy a címjegyzékhez, ezek a figyelmeztetések sokszor meg sem jelennek, mert a felhasználó automatikusan jogosultságot ad a programoknak, vagy egyszerűen csak mérlegelés nélkül elfogadja a kérést. 

A FaceApp nevű oroszországi applikáció ennél is rafináltabb volt: a felhasználói feltételek elfogadásával a userek gyakorlatilag beleegyeztek abba, hogy a képeiket a cég később reklám célra használja, sőt, az a gyanú is felmerült, hogy a képszerkesztő alkalmazás a telefonon található összes képet átmásolja a saját tárhelyére is.

Mit veszíthetünk az ügyön?

A változatos jogosultságokat megszerző alkalmazások néha egészen hajmeresztő dolgokra képesek.

  • Rajtuk keresztül bármikor bekapcsolható a telefon kamerája vagy mikrofonja, így lehallgathatóvá válhatnak a beszélgetések,. 
  • Biztonsági rést nyithatnak, ahol akár zsarolóvírus, kártékony szoftver és kémprogram is települhet a gépre.
  • A felvételeink kikerülhetnek a világhálóra, sőt, akár termékek reklámozására is felhasználhatják, azonban ezek megjelenése felett nem lesz kontrollunk. 

Mit lehet tenni a biztonság érdekében?

Az első és legfontosabb dolog: vegyük komolyan a kockázatot!  Sok cég feledkezik meg róla, hogy a céges telefont is legalább olyan körültekintéssel kellene kezelni, mint a számítógépeket és munkaállomásokat. Ezekre is ki kell dolgozni a megfelelő szabályokat. 

Az IT policy megalkotásakor érdemes meghatározni, milyen szolgáltatásokat használhat a munkatárs a telefonon. Fogadhat-e céges e-maileket, beléphet-e a CRM-rendszerbe, tárolhat-e a telefonon munkahelyi fájlokat? 

Érdemes figyelni arra, milyen engedélyeket kér a program.

Ma már arra is léteznek megoldások, hogy a felhasználó csak engedélyezett programokat tudjon telepíteni vagy futtatni. Néhány egyszerű eszközzel pedig követhető és ellenőrizhető a telefonok használata. Ez persze nem minden vállalkozás esetében megoldás: a marketingeseknek, kreatív szakembereknek, de akár a szállítmányozásban dolgozó sofőröknek is lehet igényük arra, hogy korlátozások nélkül használhassák a készülékeket. Mit lehet tenni ez ügyben? 

A biztonságos okostelefon használatnak van néhány nagyon könnyen betartható szabálya, melyekkel sokat javíthatunk a védelmen:

  • Minél kevesebb fájlt tároljunk a készüléken! Ez nem csak a kémprogramok miatt, de a telefon elvesztése esetén is fontos lehet. 
  • Végezzük el a biztonsági frissítéseket! A nagyobb gyártók többsége aktívan dolgozik a sebezhetőségek kivédésén. A szoftverek legfrissebb változatával nagyobb a biztonság.
  • Ne adjunk meg automatikusan az elérést a kamerához és egyéb eszközökhöz az alkalmazásoknak. 
  • Olvassuk el a Felhasználási Feltételeket és győződjünk meg róla, hogy az app megfelel a GDPR előírásainak!

Ha sokat használjuk a telefon, érdemes elválasztani a privát és a céges telefonálást, így kisebb az esélye, hogy egy támadás során minden érzékeny adatunk és a vállalati szálak is a tolvaj kezére jussanak.