A koronavírus miatt elrendelt kijárási korlátozás egyik nagy nyertese a Tik-tok nevű kínai videómegosztó alkalmazás volt. Az app rohamos ütemben fejlődött, a kijárási korlátozás alatt pedig a főként tinikből álló közösség mellett a felnőttek is felfedezték maguknak a vicces kisfilmek világát. Mára már a cégek is megjelentek a videó megosztón, hogy a marketingjüket színesítsék. De vajon van keresnivalója egy ilyen alkalmazásnak a céges telefonon?
Kémprogramot telepítünk?
A TikTok háza tája soha nem volt mentes a botrányoktól. Az alkalmazás a jelenlegi formájában 2018 óta elérhető a világ minden táján iOS és Android platformokon. A videó megosztót jegyző ByteDance nevű cég viszont már 2012 óta fejleszt hasonló programot kínában Douyin néven. 2017-ben a vállalkozó megszerezte a Musical.ly nevű social media csatornát is, ahol a felhasználók (zömmel tinédzserek) zenés videókat tölthettek fel és versenyezhettek a népszerűségért.
Az első nagyobb vihart az kavarta, hogy kiderült, hogy sem a Musical.ly, sem a TikTok nem erőltette meg magát különösebben, hogy megbízhatóan ellenőrizze a felhasználók életkorát. Az ByteDance ezért 5,7 millió dolláros bírságot kapott az amerikai ügyészségtől, mondván, jogszerűtlenül tárolta fiatalkorú userek adatait.
Nem sokkal később néhány hacker kihasznált egy óriási kiskaput. A biztonsági résen keresztül be tudtak lépni más felhasználók fiókjaiba. Az account elfoglalása után a hackerek képesek voltak törölni vagy feltölteni videókat a felhasználó nevében. Hozzáfértek a még nem publikált videókhoz is, ezzel sokakat kellemetlen helyzetbe hoztak.
Steve Huffman, a Reddit vezérigazgatója magát a TikTokot is kémprogramnak bélyegezte, Indiában betiltották a szoftver használatát, és több ország, így az Egyesült Államok is hasonló lépést tervez.
Egyedül a TikTok a probléma?
A TikTok valóban az extrém példák közé tartozik, ha kockázatos szoftverekről van szó - viszont korántsem az egyetlen olyan alkalmazás, amivel nem stimmelt valami. Egy tanulmány szerint a PlayStore-ból letölthető Androidos applikációk 14%-kának van valamilyen adatvédelmi hiányossága.
A legtöbb probléma abból adódik, hogy a programok különböző hozzáféréseket kérnek a telefon eszközeihez, erről viszont sokszor elfelejtik tájékoztatni a felhasználót. Elképzelhető például, hogy a szoftver képes olvasni a telefon vágólapját, vagyis olyan szövegekre, képekre is “rálátása” van, amelyeket a felhasználó egészen más platformra szánt volna. Bár az alkalmazás maga kér engedélyt a telefontól például a kamerához vagy a címjegyzékhez, ezek a figyelmeztetések sokszor meg sem jelennek, mert a felhasználó automatikusan jogosultságot ad a programoknak, vagy egyszerűen csak mérlegelés nélkül elfogadja a kérést.
A FaceApp nevű oroszországi applikáció ennél is rafináltabb volt: a felhasználói feltételek elfogadásával a userek gyakorlatilag beleegyeztek abba, hogy a képeiket a cég később reklám célra használja, sőt, az a gyanú is felmerült, hogy a képszerkesztő alkalmazás a telefonon található összes képet átmásolja a saját tárhelyére is.
Mit veszíthetünk az ügyön?
A változatos jogosultságokat megszerző alkalmazások néha egészen hajmeresztő dolgokra képesek.
- Rajtuk keresztül bármikor bekapcsolható a telefon kamerája vagy mikrofonja, így lehallgathatóvá válhatnak a beszélgetések,.
- Biztonsági rést nyithatnak, ahol akár zsarolóvírus, kártékony szoftver és kémprogram is települhet a gépre.
- A felvételeink kikerülhetnek a világhálóra, sőt, akár termékek reklámozására is felhasználhatják, azonban ezek megjelenése felett nem lesz kontrollunk.
Mit lehet tenni a biztonság érdekében?
Az első és legfontosabb dolog: vegyük komolyan a kockázatot! Sok cég feledkezik meg róla, hogy a céges telefont is legalább olyan körültekintéssel kellene kezelni, mint a számítógépeket és munkaállomásokat. Ezekre is ki kell dolgozni a megfelelő szabályokat.
Az IT policy megalkotásakor érdemes meghatározni, milyen szolgáltatásokat használhat a munkatárs a telefonon. Fogadhat-e céges e-maileket, beléphet-e a CRM-rendszerbe, tárolhat-e a telefonon munkahelyi fájlokat?
Ma már arra is léteznek megoldások, hogy a felhasználó csak engedélyezett programokat tudjon telepíteni vagy futtatni. Néhány egyszerű eszközzel pedig követhető és ellenőrizhető a telefonok használata. Ez persze nem minden vállalkozás esetében megoldás: a marketingeseknek, kreatív szakembereknek, de akár a szállítmányozásban dolgozó sofőröknek is lehet igényük arra, hogy korlátozások nélkül használhassák a készülékeket. Mit lehet tenni ez ügyben?
A biztonságos okostelefon használatnak van néhány nagyon könnyen betartható szabálya, melyekkel sokat javíthatunk a védelmen:
- Minél kevesebb fájlt tároljunk a készüléken! Ez nem csak a kémprogramok miatt, de a telefon elvesztése esetén is fontos lehet.
- Végezzük el a biztonsági frissítéseket! A nagyobb gyártók többsége aktívan dolgozik a sebezhetőségek kivédésén. A szoftverek legfrissebb változatával nagyobb a biztonság.
- Ne adjunk meg automatikusan az elérést a kamerához és egyéb eszközökhöz az alkalmazásoknak.
- Olvassuk el a Felhasználási Feltételeket és győződjünk meg róla, hogy az app megfelel a GDPR előírásainak!
Ha sokat használjuk a telefon, érdemes elválasztani a privát és a céges telefonálást, így kisebb az esélye, hogy egy támadás során minden érzékeny adatunk és a vállalati szálak is a tolvaj kezére jussanak.