Key takeaways
- Alle Google Play-apper vil obligatorisk vise en personvernetikett i ernæringsstil fra og med i dag.
- Etiketten er ment å bedre forklare appens tillatelser og personvernregler.
- Innholdet fra utvikleren på etiketten kan åpne muligheten for apper til å villede folk, hevder noen.
Den nye delen for datasikkerhet i Googles Play-butikk har personverneksperter delt.
Fra og med i dag må apper i Google Play-butikken obligatorisk dele detaljer om datainnsamling og -delingspraksis, som vil bli oppført under den nye delen om datasikkerhet. Som noen har lagt merke til, forventer Google nå at folk stoler på disse personvernhensynene fra utviklere i stedet for den gamle Google-genererte listen over personverntillatelser.
"Vi vet at for å engasjere brukerne meningsfullt, må programvaresystemene selv inspirere til tillit, og enhver innsats for dette formålet fra deres side undergraves av en appbutikk som presenterer selvavsløring som sin policy," Vuk Janosevic, administrerende direktør fra leverandøren av personvernprogramvare, Blindnet, fort alte Lifewire via e-post. «Hvis utviklere trenger å selv erklære hvilke data de samler inn og til hvilke formål, blir spørsmålet: hva skal Google gjøre for å sikre samsvar og korrekthet?»
Open for Abuse
Google begynte å rulle ut delen om datasikkerhet i mai, og presenterte den som en måte å gi folk mer innsyn i retningslinjene for datainnsamling for de oppførte appene. Google er ikke den første som gjør dette, Apple lanserte noe lignende i desember 2020.
Den nye delen deler nøyaktig hvilke data en app samler inn og avslører hvilke data den deler med tredjeparter. Den beskriver også appens sikkerhetspraksis og sikkerhetsmekanismene dens utviklere bruker for å beskytte de innsamlede dataene, og forteller folk om de har muligheten til å be utvikleren om å slette innsamlede data, for eksempel når de slutter å bruke appen.
Men ikke bare vil Google stole på utviklere for å gi nøyaktige detaljer, men det fjerner også den gamle listen over autogenererte apptillatelser. Fokuset på detaljer levert av utviklere passer dårlig hos enkelte personverneksperter.
"Forbrukere mistillit dypt på nettsystemer i dag," hevdet Janosevic. "Bedrifter og appene deres må strekke seg en ekstra mil for å bevise at de ikke er en dårlig fyr og vinne kundenes tillit."
Janosevic er enig i at endringen åpner for potensialet for utviklere til å feilrepresentere intensjonene sine og samle inn flere datapunkter om brukerne enn de hevder.
"Men jeg tror det største problemet her er at enhver unnlatelse fra Googles side med å regulere og håndheve disse reglene og offentliggjøre at overholdelse til slutt truer med å erodere brukernes tillit til markedet og applikasjonene som er oppført der," mente Janosevic.
The Right Way
Jeff Williams, CTO og medgründer av Contrast Security, sa at overgangen til de selvattesterte personvernetikettene er viktigere enn å fjerne tillatelseslisten.
"Det er den beste måten å balansere interessene til programvareforbrukere og -produsenter i programvaremarkedet," sa Williams til Lifewire over e-post. "Jeg tror dette, og andre tiltak som programvaresikkerhetsetikettene som brukes i Singapore og Finland, er veldig viktige.»
Williams berømmer overgangen til etiketter i ernæringsstil, og argumenterer for at det store flertallet av brukerne ikke tok mye hensyn til den ofte kryptiske tillatelseslisten, og enklere etiketter er mer effektive i å forme brukervalg, slik det har vært. observert på tvers av forskjellige andre produkter.
William føler med folk som vil at Google automatisk skal liste opp en apps tillatelser, men mener det er svært usannsynlig at det nye systemet vil bli misbrukt. Han sa at alle som jukser sannsynligvis vil bli k alt ut eller utestengt, siden det ikke er vanskelig å oppdage avvik.
"Dette trekket endrer ikke det faktum at brukere vil få popup-vinduer for å autorisere apper til å bruke farlige tillatelser," forklarte Williams. "Alle som virkelig bryr seg kan fortsatt få denne informasjonen."
Videre påpekte han at den nye ordningen fortsatt tillater tredjeparts anmeldelser, og peker spesifikt på OWASP Mobile Application Security Verification Standard (MASVS) som kan vurdere apper grundig og vurdere flere sikkerhetsaspekter utover deres tillatelser.
"Kanskje en dag vil vi komme til tredjepartsetiketter fra en pålitelig kilde, kanskje Google, kanskje noen andre [innebygd i Play-butikken]," sa Williams. "Men foreløpig ønsker jeg velkommen til et flott merke som vil hjelpe vanlige folk til å forstå hvordan appene de bruker beskytter dataene sine.»
