Bezpieczny Facebook - 4 ważne wskazówki

W ostatnim czasie jest bardzo głośno o tym, że Facebook nie jest bezpieczny. Wszystko jednak jest wyłącznie kwestią tego jak z niego korzystamy. W naszym artykule wskazujemy na słabe punkty w zabezpieczeniach serwisu Facebook i na to, na co powinniście uważać korzystając z aplikacji.

"Zainstaluj przycisk nie lubię!" "OMG ta dziewczyna zabiła się po tym jak jej tata zrobił wpis na jej tablicy!" Co te komentarza mają ze sobą wspólnego? Otóż są to jedne z dwóch najpopularniejszych przekrętów, które krążą po Facebooku w te i z powrotem, przekonując kolejne rzesze osób aby kliknęły na nie zezwalając tym samym na instalację złośliwych aplikacji. Inne znane oszustwa, które znajdziecie na Facebooku to np. "zobacz kto odwiedza twój profil", czy grasujący ostatnio "zobacz ile osób kliknęło w twój profil". Użytkownicy zostają nabrani, bo koniecznie chcą zaspokoić ciekawość i sprawdzić np. kto ich odwiedza.

Niestety tego typu aplikacje, zazwyczaj służą do przekrętów. Użytkownik sam "zaprasza" aplikację na swój profil, pozwalając jej korzystać ze wszystkich danych. Jedynym efektem całej akcji jest to, że oszust stojący za całą akcją wzbogaca się powiększając swoją bazę danych. Oczywiście Ty, w dalszym ciągu nie uzyskałeś informacji kto odwiedza twój profil. Sytuacja wygląda zatem tak, że bez profitów dla siebie, ujawniłeś obcej osobie swoje prywatne dane. To trochę niekomfortowa sytuacja, prawda?

Proces tworzenia nowych aplikacji dla Facebooka wciąż wymaga wprowadzenia wielu poprawek - tak twierdzą eksperci od bezpieczeństwa i prywatności. W tym roku już doszło do jednej dziwnej sytuacji. Facebook postanowił tymczasowo zablokować kontrowersyjną funkcjonalność, która pozwalała developerom na wgląd w numery telefonów i adresy niektórych użytkowników. Taka możliwość szybko wywołała falę krytyki pośród ekspertów od spraw bezpieczeństwa, którzy ostrzegali, że udostępnianie tego typu danych jest niemal otwartym zaproszeniem do nadużyć, spamowania sms-ami, a nawet kradzieży tożsamości.

W ostatnim raporcie bezpieczeństwem firma Sophos zauważyła, że Facebook ma poważny problem z uformowaniem spójnego i dobrego systemu aplikacji.

"Każdy z użytkowników może stworzyć aplikację, z szeroką gamą możliwości podglądania danych składowanych przez użytkowników. Co więcej, nieświadomi zagrożenia użytkownicy, mogą instalować te aplikacje, dając im w ten sposób dostęp do swojej strony."

Facebook bardzo szybko odpowiedział na te zarzuty: "Stworzyliśmy rozbudowany system kontroli naszego produktu, zatem nawet gdy dodajesz aplikację, ma ona dostęp tylko do ograniczonej liczby danych, a użytkownik musi zatwierdzić dodanie każdego dodatkowego typu informacji". Przedstawiciele Facebooka dodają: "Za każdym razem działamy delikatnie, aby uzyskać pewność, że zablokujemy potencjalnie groźne aplikacje przed dostępem do danych użytkowników."

Czy to wystarczy? Wielu ekspertów od spraw bezpieczeństwa uważa, że nie. Poniżej znajdziecie cztery porady od ekspertów, którzy wskazują jak można poprawić proces tworzenia aplikacji, aby były one bezpieczne dla użytkowników.

Ogród otoczony murem

W swoich raportach, Sophos sugeruje podejście zwane "walled garden" - strategię, z której korzysta Apple na swoim app store.

"Odnosi się to do zamkniętego, albo bardzo ograniczonego zestawu informacji, jakie dostają użytkownicy w zestawieniu z pełnym dostępem do aplikacji" mówi raport. "W ten właśnie sposób działa Apple App Store. Aplikacje wymagają oficjalnego zatwierdzenia, zanim będzie je można wgrać na stronę i udostępniać innym użytkownikom. Doświadczenie pokazało, że jest to bardzo dobry sposób na ochronę użytkowników przed złośliwym oprogramowaniem. Użytkownicy Facebooka, którzy wzięli udział w sondzie, również poparli tego typu rozwiązanie."

Bethan Cantrell, Senior Privacy Consultant w firmie DLI Design Laboratory, potwierdza tę opinię.

"Kim jest twórca aplikacji?" pyta Cantrell. "Ich konta są sprawdzane za pomocą numeru telefonu komórkowego lub karty kredytowej, ale skąd wiadomo czy nie zostali np. nigdy skazani za oszustwo? Równie dobrze, może być to nastolatek, który ma dużo wolnego czasu i niewiele zainteresowania właściwym składowaniem danych o klientach."

Więcej kontroli dla użytkowników

Sophos wskazuje również alternatywne rozwiązanie. Wystarczyłoby dać wszystkim użytkownikom możliwość zabezpieczenia własnej strony, pozwalając im na dopuszczanie tylko tych aplikacji, które sami wskażą.

"To drugie rozwiązanie broni jednak wyłącznie tych bardziej świadomych i ostrożnych użytkowników, którzy tak czy inaczej są mniej podatni na sztuczki socjotechniczne" mówi raport Sophos. "Nie przyczyniłoby się to w dużej mierze do redukcji zalewu spamu dla tych, którzy nie mają takiego pojęcia o bezpieczeństwie."

Oczywiście trzeba pamiętać, że nawet zatwierdzonym aplikacjom nie można całkowicie zaufać - trzeba liczyć się z tym, że czasem może się prześlizgnąć coś, co wydaje się być niegroźne, choć w rzeczywistości jest zupełnie inaczej.

System ocen

Cantrell sugeruje dodanie możliwości oceniania twórców aplikacji, aby użytkownicy widzieli ich reputacje w tym samym miejscu, w którym są pytani o zezwoleniu dostępu dla aplikacji. Innymi słowy, zanim udzielisz zgodę na dostęp, system ocen poinformuje cię o wcześniejszych dokonaniach developera, jego ocenie i incydentach z jego przeszłości, jeśli oczywiście jakieś miał.

"Ebay udziela informacji o sprzedawcach książek za 6 dolarów. Może zatem powinniśmy mieć podobną możliwości w sytuacji, w której próbujemy chronić naszą prywatność?"

Developerzy - chrońcie dane

Większość twórców aplikacji chce po prostu podzielić się swoim fajnym quizem albo grą, ale czy są oni na tyle wyrafinowani, żeby zrozumieć co niesie ze sobą konieczność składowania prywatnych danych innych użytkowników? - pyta Cantrell. "Czy na pewno rozumieją oni jak te dane chronić?"


Zobacz również