Các hướng dẫn do Bộ Kỹ thuật số, Văn hóa, Truyền thông và Thể thao (DCMS) biên soạn, yêu cầu các nhà khai thác và nhà phát triển đảm bảo rằng các ứng dụng nhận được bản cập nhật để khắc phục các lỗ hổng bảo mật và kêu gọi mọi nhà phát triển ứng dụng thiết lập quy trình tiết lộ lỗ hổng. Nhà phát triển phải cập nhật ứng dụng của họ khi thư viện bên thứ ba hoặc bộ công cụ phát triển phần mềm (SDK) mà họ đang sử dụng nhận được bản cập nhật bảo mật hoặc quyền riêng tư.
Khi Nhà phát triển gửi bản cập nhật bảo mật cho ứng dụng, nhà điều hành App Store sẽ khuyến khích người dùng cập nhật ứng dụng lên phiên bản mới nhất. Nhà điều hành App Store không được từ chối các bản cập nhật bảo mật độc lập mà không đưa ra giải thích mạnh mẽ và rõ ràng cho Nhà phát triển về lý do tại sao điều này lại xảy ra. Trong trường hợp Nhà vận hành App Store không phê duyệt bản cập nhật do lo ngại rằng họ đang tương tác với Nhà phát triển độc hại, họ sẽ có sự linh hoạt về khoảng thời gian và chi tiết của phản hồi nói trên để phản hồi của họ không hỗ trợ các tác nhân độc hại.
Nhà điều hành App Store sẽ hiển thị thông tin bên dưới (do Nhà phát triển cung cấp) cho tất cả các ứng dụng trên cửa hàng ứng dụng của họ, chẳng hạn như trong phần bảo mật và quyền riêng tư dành riêng:
- Các khu vực pháp lý nơi dữ liệu của người dùng được lưu trữ và xử lý cho từng ứng dụng.
- Các bên liên quan được cấp quyền truy cập vào dữ liệu của người dùng. Các danh mục bên liên quan được hiển thị cho người dùng phải bao gồm các công ty bên thứ ba, tổ chức của ứng dụng, chính phủ cụ thể hoặc không được chia sẻ với bất kỳ ai.
- Mục đích truy cập hoặc sử dụng dữ liệu của người dùng. Các danh mục nên bao gồm tiếp thị, phân tích, dịch vụ người dùng.
- Thời điểm ứng dụng được cập nhật lần cuối và mọi thông tin bảo mật có liên quan khác, cũng như thông tin được liên kết với các quyền.
Khi một ứng dụng bị xóa hoặc không khả dụng khỏi cửa hàng ứng dụng, Nhà điều hành App Store sẽ thông báo cho người dùng về ứng dụng đó và hướng dẫn cách người dùng xóa ứng dụng khỏi thiết bị của họ trong vòng 30 ngày.
Các nhà điều hành App Store cần thực hiện các bước thích hợp khi phát sinh vi phạm dữ liệu cá nhân:
- Nếu Nhà phát triển hoặc Nhà điều hành App Store biết về sự cố bảo mật trong ứng dụng liên quan đến vi phạm dữ liệu cá nhân, họ nên thông báo cho các bên liên quan khác bao gồm Nhà phát triển ứng dụng, Nhà điều hành App Store và Nhà phát triển thư viện/SDK.
- Các nhà phát triển sẽ đánh giá tác động của sự cố nói trên và thực hiện theo các bước thích hợp được quy định theo luật bảo vệ dữ liệu.
- Khi xảy ra vi phạm dữ liệu cá nhân thông qua một ứng dụng, Nhà phát triển sẽ thông báo cho người dùng bị ảnh hưởng và hướng dẫn biển báo để người dùng tự bảo vệ mình.
Khi Nhà điều hành App Store được thông báo về vi phạm dữ liệu cá nhân trong ứng dụng, họ nên cân nhắc xem có nên cung cấp ứng dụng cho người dùng không.
Nói chung, hướng dẫn yêu cầu ngành tuân thủ tám tiêu chuẩn riêng biệt, bao gồm cả việc đảm bảo rằng nhận thức về vi phạm dữ liệu cá nhân sẽ chuyển sang những người chơi khác trong ngành, bao gồm cả nhà phát triển bộ công cụ phát triển phần mềm.
DCMS cho biết họ sẽ bắt đầu hỏi các nhà điều hành cửa hàng ứng dụng vào đầu năm 2023 xem họ có tuân thủ các nguyên tắc hay không và sẽ thu thập phản hồi bằng văn bản vào mùa xuân.
Sẽ có một khoảng thời gian chín tháng để Nhà điều hành và Nhà phát triển tuân thủ Quy tắc. DCMS ban đầu chỉ tập trung vào việc đánh giá việc tuân thủ Quy tắc với Nhà điều hành App Store. Điều này là do đại đa số người dùng truy cập ứng dụng từ các nền tảng do Nhà điều hành App Store cung cấp. DCMS dự định bắt đầu các cuộc họp với các Nhà điều hành App Store từ đầu năm 2023 để xác định xem họ đã bắt đầu ban hành các thay đổi trong quy trình của họ chưa, bao gồm các yêu cầu đối với Nhà phát triển dựa trên Bộ quy tắc. Các nhà điều hành được hoan nghênh tổ chức các cuộc họp bổ sung với DCMS để tìm kiếm bất kỳ thông tin làm rõ nào và nêu bật những hành động họ đang thực hiện. DCMS dự định cũng sẽ yêu cầu các báo cáo bằng văn bản từ các Nhà điều hành App Store vào Mùa xuân năm 2023, báo cáo này sẽ được coi là bí mật. Các báo cáo phải nêu rõ cách họ đáp ứng các điều khoản trong Bộ quy tắc và/hoặc các bước đang được thực hiện để tuân thủ Bộ quy tắc.
Khi các cuộc họp và báo cáo bằng văn bản này đã được xem xét, nếu DCMS xác định rằng dữ liệu đã được cung cấp không đầy đủ và/hoặc nhiều Nhà điều hành không thực hiện các bước để tuân thủ, thì DCMS dự định sẽ tiến hành nghiên cứu độc lập của riêng mình. Đây là một Quy tắc tự nguyện, do đó, Nhà điều hành App Store và Nhà phát triển cũng sẽ có thể tạo sự khác biệt cho mình bằng cách khẳng định công khai rằng họ tuân thủ Quy tắc.
Julia Lopez, thành viên Đảng Bảo thủ của Quốc hội, người đứng đầu bộ phận cho biết: "Người tiêu dùng có thể tin tưởng rằng tiền và dữ liệu của họ nằm trong tay an toàn khi sử dụng ứng dụng và các biện pháp này sẽ không chỉ thúc đẩy nền kinh tế kỹ thuật số của chúng tôi mà còn bảo vệ mọi người khỏi gian lận".
Mặc dù các nền tảng ứng dụng như Apple Store và Google Play Store có các chính sách bảo mật áp dụng cho các ứng dụng trên nền tảng của họ, nhưng một cuộc điều tra của chính phủ Anh cho biết rằng các ứng dụng độc hại đã xuất hiện trong các nền tảng này mặc dù đã có các quy trình kiểm tra nhằm đảm bảo an toàn cho việc tải xuống.
Apple và Google điều hành các cửa hàng ứng dụng nổi tiếng nhất, nhưng nghiên cứu của công ty bảo mật Internet vạn vật Copper Horse do chính phủ ủy quyền đã xác định được 111 cửa hàng trên toàn cầu có ứng dụng cho nhiều loại thiết bị, bao gồm cả TV thông minh và thiết bị đeo được.
Nguyễn Anh Tuấn
15:00 | 28/11/2022
13:00 | 10/08/2022
09:00 | 08/06/2023
16:00 | 21/03/2023
09:00 | 09/06/2022
14:00 | 23/02/2024
SSH (Secure Socket Shell) là giao thức mạng để đăng nhập vào một máy tính từ xa trên một kênh truyền an toàn. Trong đó, OpenSSH là một chuẩn SSH được sử dụng ở hầu hết các bản phân phối của Linux/BSD như Ubuntu, Debian, Centos, FreeBSD, mã hóa tất cả các thông tin trên đường truyền để chống lại các mối đe dọa như nghe lén, dò mật khẩu và các hình thức tấn công mạng khác. Trong bài viết này sẽ hướng dẫn độc giả cách thức tăng cường bảo mật cho OpenSSH với một số thiết lập bảo mật và cấu hình tùy chọn cần thiết nhằm đảm bảo truy cập từ xa vào máy chủ Linux được an toàn.
08:00 | 25/01/2024
Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.
09:00 | 17/11/2023
Theo Cục An toàn thông tin (Bộ TT&TT), hiện nay có 24 hình thức lừa đảo qua mạng phổ biến mà các đối tượng lừa đảo nhắm vào người dân. Để tránh trở thành nạn nhân, người dân cần nắm bắt, tuyên truyền cho người thân, bạn bè, đồng nghiệp của mình.
14:00 | 14/09/2023
NFT (Non-fungible token) là một sản phẩm của thời đại công nghệ mới và đang phát triển như vũ bão, ảnh hưởng sâu rộng đến nhiều lĩnh vực. Thị trường NFT bùng nổ mạnh mẽ vào năm 2021, tăng lên khoảng 22 tỷ USD và thu hút ước tính khoảng 280 nghìn người tham gia. Nhưng khi thị trường này phát triển, phạm vi hoạt động của tin tặc cũng tăng theo, đã ngày càng xuất hiện nhiều hơn các báo cáo về những vụ việc lừa đảo, giả mạo, gian lận và rửa tiền trong NFT. Bài báo sau sẽ giới thiệu đến độc giả tổng quan về NFT, các hành vi lừa đảo NFT và cách thức phòng tránh mối đe dọa này.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024