世界盃所使用的應用程式帶來資料安全和隱私噩夢

據The Register訊息，隨著數以萬計安裝了面部識別技術的監控攝像頭被強制下載間諜軟體，即將在卡達舉行的世界盃看起來更像是一場資料安全和隱私的噩夢。

足球迷和其他前往卡達的人必須下載兩個應用程式：

• Ehteraz 用於Covid-19跟蹤器，

• Hayya 允許持票者進入體育館，並享用免費的地鐵和巴士交通服務。

卡達的Ehteraz Covid-19跟蹤器甚至在世界盃使用之前就受到了審查，因為它允許遠端訪問使用者的圖片和影片，並可以在沒有提示的情況下撥打電話。

此外，Ehteraz 要求後臺位置服務始終處於開啟狀態，並使應用程式能夠讀取和寫入檔案系統。

應用安全公司的安全專家在接受採訪時表示，“Ehteraz能夠安裝一個加密檔案，該檔案聲稱包含使用該應用的其他裝置的唯一ID、二維碼、感染狀態、配置引數和鄰近資料。”“從本質上說，很明顯，應用程式從終端使用者那裡獲取資料的原因比給定的同意按鈕所表達的更多。”

此外，大約1.5萬個使用人臉識別技術的攝像頭將監控賽事和觀眾，名義上是為了確保廣大足球運動員和球迷的安全。但考慮到卡達這個國家糟糕的人權記錄，有必要對這種監視抱以適當的懷疑態度。

當被問及與這兩個應用程式有關的安全問題時，德國資料保護機構BfDI的發言人告訴媒體，它正在與德國外交部和德國聯邦資訊保安辦公室合作調查Etheraz和Hayya。

據安全專家聲稱，結論就是，如果下載這些應用程式(前往卡達、觀看世界盃就需要下載)，使用者被迫“一到卡達就把所有敏感的IP奉上”。在接受這些應用程式的條款後，資訊稽核員將完全控制使用者的裝置。所有的個人內容、編輯/共享/提取這些內容以及裝置上其他應用程式的資料的能力統統落在他們的手中。資訊稽核員甚至可以遠端解鎖使用者的裝置。

卡達政府監視人員將如何利用這種不受限制的訪問權?獨裁政權熱衷於追蹤你在其國內遇到的人和你認識的人。

有鑑於此，他們很可能會使用這些應用程式來獲取你的所有聯絡人資料，翻查通話和簡訊記錄，透過GPS和裝置無線電介面(藍芽和wifi)跟蹤你的位置，還可能竊取你的社交媒體聯絡資料，因此朋友和熟人也面臨資訊洩露的險境。

此外，一旦你接受了這些條款和條件，就算離開了卡達，這些應用程式照樣可以繼續監視你和你的聯絡人。正如政府官員們警告的一樣，唯一真正的解決辦法是買一部話費預付的一次性手機。

當前，滿足於人們生產活動所需的各式應用程式不斷研發和推廣，且隨著對資料安全的不斷重視，在使用過程中應用程式對使用者資料過度採集和濫用已受到相關法律法規的約束，並且企業在開發應用程式時需要優先考慮確保資料隱私和合規性。

資料隱私和合規性應和應用程式的建立過程融合在一起，不論應用程式的外觀、設計和和效能如何，資料安全等問題都應該是應用程式的核心，尤其軟體中儲存資料的關鍵模組安全問題更當引起重視。

合規的應用程式不僅要清楚地向使用者解釋他們的資料是如何被處理的，而且應用還應讓這些解釋易於訪問。使用者需要能夠訪問市場上應用程式的後設資料，以及有關應用程式為何可以進入其裝置的廣告識別符號(iOS IFDA、Android AAID)的任何解釋。同樣，當應用試圖追蹤使用者的位置或收集分析資料時，它也需要向使用者提供許可請求。

同時，嚴格遵守相關法律法規和應用商店要求，擁有隱私政策和安全保證，有助於提高應用軟體在安全性上和客戶之間的透明度，同時增加軟體產品的良好聲譽。

安全可靠的應用程式有助於提高網路安全，而網路安全的核心問題是保護資料。在應用程式開發過程中藉助安全測試工具提高軟體安全性，不但可以讓開發人員免於回溯安全漏洞及缺陷的麻煩，而且可以增強軟體保護資料能力，利於加強網路安全。

參考來源：

https://www.theregister.com/2022/11/11/world_cup_security/