Komfort eller sikkerhet: Hvem bestemmer hva som er viktigere?

15. juni 2011, i TechRepublic IT Security Blog, rapporterte Donovan Colbert om en noe urovekkende bekvemmelighetsfunksjon i noen Android-enheter som i det minste skaper et potensielt sikkerhetsproblem. Den påfølgende diskusjonstråden er veldig opplysende.

Det er en innstilling på visse Android-enheter som vil sikkerhetskopiere noen av personopplysningene dine til Google-servere, med mindre du bestemmer deg for å velge bort. Den offisielle ordlyden:

"Merk av for å sikkerhetskopiere noen av personopplysningene dine til Google-servere med Google-kontoen din. Hvis du erstatter telefonen, kan du gjenopprette dataene du har sikkerhetskopiert, første gang du logger deg på med Google-kontoen din. Hvis du sjekker Dette alternativet sikkerhetskopieres et bredt utvalg av dine personlige data, inkludert Wi-Fi-passord, nettleserbokmerker, en liste over applikasjoner du har installert, ordene du har lagt til i ordboken som brukes av skjermtastaturet, og de fleste av innstillingene du konfigurerer med Innstillinger-applikasjonen. Noen tredjepartsprogrammer kan også dra nytte av denne funksjonen, slik at du kan gjenopprette dataene dine hvis du installerer et program på nytt. Hvis du fjerner merket for dette alternativet, slutter du å sikkerhetskopiere dataene dine til kontoen din, og eventuelle eksisterende sikkerhetskopier blir slettet fra Google-servere. "

(Takk Michael Kassner)

Ved første øyekast høres alt dette veldig praktisk ut, men som Donovan påpeker, når du begynner å vurdere hvilken informasjon som faktisk lagres på Googles servere, kan du lure på om din bekvemmelighet kommer til en for høy pris med hensyn til sikkerhet.

Tenk for eksempel på informasjonen Google lagrer hvis Android-enheten din kobles til bedriftens WiFi-nettverk - etter en vellykket tilkobling, er nå tilgangskodene til bedriftsnettverket lagret på en Google-server. Hvis du nå får tilgang til den Google-serveren med en annen enhet i et annet WiFi-nettverk med bare brukeropplysningene som kreves for å få tilgang til Google-kontoen din, vil disse tilgangskodene for bedriften bli "gjenopprettet" til den nye enheten. En ondsinnet bruker kan potensielt skaffe seg tilgangskoder til et bedriftsnettverk ved bare å kjenne et Google-brukernavn og passord. I offentlige nettverk er den informasjonen ikke vanskelig å komme med.

Som du kan forestille deg, passer ikke dette bra hos IT-fagfolk som er ansvarlige for å opprettholde sikre nettverk. Slike potensielle sikkerhetsproblemer vil sannsynligvis føre til at mange nettverksadministratorer gjør policyendringer med hensyn til bruk av Android-baserte enheter på bedriftssystemene.

Potensiell kontra faktisk trussel

Scenariet beskrevet over og de andre problemene som Donovan har reist i sin artikkel, er alvorlige, men de er for det meste i kategorien potensiell trussel for øyeblikket. Vi kjenner til ingen faktiske overgrep på denne Google-leverte funksjonen for Android-enheter. Men det er ikke den virkelige saken, er det?

Problemet med funksjonen er at Google har valgt å gjøre det til en bortvalgstransaksjon. Standard på mange enheter er å merke av i innstillingskontrollen som lar Google lagre denne sensitive dataen. Dette er imidlertid ikke den sikre og ansvarlige tilnærmingen. Brukere må være aktivt å velge funksjonen. Google burde feil på siden av sikkerhet i forhold til bekvemmelighet. Den eneste personen som har rett til å ta beslutningen om å overstyre sikkerhet til fordel for en bekvemmelighetsfunksjon, er brukeren - ikke leverandøren, tjenesteleverandøren eller programvareutvikleren.

Er du enig eller uenig? Tror du den potensielle sikkerhetsrisikoen er overdrevet eller undervurdert? Trenger eldre IT-fagfolk og datanerder som meg å slappe av, eller gir vi vismanns visdom?

© Copyright 2021 | mobilegn.com