当前,各种规模的企业都认识到构建移动应用的必要性。但是,蜂拥而上的移动应用使得企业暴露在各类隐私和安全风险下,从而让客户疑虑重生。对于小企业来说,由于预算有限且IT支持力度不够,这类问题更为严重,可能会带来致命的损害。
对此,为了消除安全隐患,我的建议是借鉴大型企业的经验教训。(另外,值得一提的是,你首先要判断自己的公司是否真的需要移动应用。)
任意输入的信息会导致隐私安全问题
长久以来,实现客户的个性化体验是小企业成功的关键之一 ——全方位了解用户并与之高效的交互。无论干洗店、小餐馆、时装店或者洗车店,都想通过移动应用达到这个目的。但是,要注意的是:任何通过移动应用对个人数据的收集都是有风险的。即便用户对于个人隐私的侵犯不在意,你也会面临责难。
某家的大型医药公司就曾面临这个困境。该公司提供了妇女健康类应用,对特定的女性人群非常有用。客户可以在其中记录任何与自身相关的信息,比如生理周期及可能的影响因素等。
在设想中,这些信息只能被客户自己看到。但是,由于该应用中有包含广告,而广告商不但抓取点击数据,还抓取了其他信息 – 包括移动设备ID及其他可以定位到客户本人的信息。这些信息很快就会散布到各级备份和各类电子表格中。最终,来自惠普的Daniel Miessler帮助解决了这个数据泄露的问题——Miessler在惠普Fortify Unit主管移动应用的测试工作。
建议1:不要让用户可以随意记录信息,要确定企业到底需要哪些数据,同时兼顾用户隐私的保护。开发人员和市场人员通常要快速的解决问题并交付方案,很少会主动地想到这方面的问题。
照片可能引起的移动应用安全问题
如今,几乎所有的智能手机都能拍摄高画质的相片和视频,为什么不好好利用呢?
毫无疑问,对于某些行业来说,数字影像是应用功能的核心:比如通过可以处理复杂场景的高端相机,应用可以帮助客户修补劣质照片。又如汽车保险行业,可以通过应用让客户在事故现场拍摄受损情况。
但是,如果照片和视频不能带来显著的战略价值,安全风险就应该成为首要的考虑因素。数字影像会带来什么损害呢?除非客户有意识的加以制止,否则数字影像会和元数据紧紧绑定在一起,暴露拍摄的具体地点、时间和日期。因此,持续的拍摄照片会将用户的详细行程展现无遗。
除了元数据之外,照片本身也会暴露隐私信息。比如,一张原本是想拍摄精美餐桌的照片,可能会碰巧暴露了桌上某张支票的详细信息。
照片所引起的隐私隐患还包括地理位置的追踪,在这方面星巴克就是一个实例。
建议2:如果有关键的业务需求要用到照片或视频,则放手去做。但是,如果只是为了趣味性,就要把安全隐私的考虑放在第一位。
让应用服务器成为一个独立的系统
对小企业来说,有一种情况令人恐惧,而且并非没有先例:移动应用的代码被黑客或竞争对手下载到其完全控制的服务器上,然后操控代码来为所欲为。
怎么会发生这种情况呢?主要原因在于过于强调对服务器成本的控制以及对安全问题的无知。部署移动应用最节省的办法就是让应用直接与企业已有的服务器对接,而后者可能就是负责工资支付、处理客户交易、承载客户和供应商名单(甚至包括内部价格清单)的服务器。对此,网络安全咨询公司SMLR Group的总经理Alan Heyman表示:“要确保移动应用的信息放在单独的服务器上,并杜绝该服务器与企业其他系统相连。”
建议3:让一台独立的服务器与应用进行交互(可能是低端服务器即可)。对某些小企业来说,可以考虑租用低端的云服务器,让自己摆脱冗赘的维护工作。你需要一台与其他系统隔离的服务器。如果只是进行了安全防护但仍旧与其他系统相连,风险爆发的几率将大大提高。