IDAC对EDTECH应用程序的调查发现混合网络安全实践

符蓓永
导读 2022年1月6日整理发布:每天都有更多的教育应用程序被下载,以便为学生提供更多学科帮助。虽然这些应用程序是很好的资源,但国际数字问责委

2022年1月6日整理发布:每天都有更多的教育应用程序被下载,以便为学生提供更多学科帮助。虽然这些应用程序是很好的资源,但国际数字问责委员会(IDAC) 于 9 月 1 日发布的一项研究调查了来自 22 个国家/地区的 496 个教育科技应用程序的数据隐私保护。虽然该研究没有发现任何故意的不当行为,但作者确实发现了需要注意的安全风险。

IDAC 主席 Quentin Palfrey 表示:“随着家长、教师和学校争先恐后地为今年秋季的教学和学习做准备,密切关注可能会得到更多使用的教育科技应用程序的隐私和安全功能非常重要。” ,在一份声明中。

该研究的目标是确定可供广大教师和家长使用以促进远程学习的应用程序,而不是学区严格使用的教育科技应用程序。IDAC在调查中使用了语言学习、学习帮助、书籍或图书馆阅读器、学习游戏、虚拟教室和团队交流应用程序。大多数应用程序是在开发的。7 月 15 日对 78 个 Android 或 iOS 应用程序进行了 ed tech 应用程序的手动测试。同时,对 421 个 Android 应用程序进行了自动化测试。

IDAC 确定了 EdTech 应用程序可以改进的五个领域

该研究显示了教育技术应用程序需要改进的五个方面。第一个区域是位置共享和持久标识符的集合。持久标识符以无法重置的方式连接到硬件,从而使第三方更容易访问信息。在持久标识符的情况下,可以通过互联网访问的数字项目。用户避免这种跟踪的唯一方法是获取新设备。

其次,IDAC 确定了个人数据被暴露的问题,允许显示学生的个人数据,例如姓名和电子邮件。暴露个人身份信息(也称为 PII)可以让攻击者轻松访问有价值的私人信息,尤其是年轻学生的信息。IDAC 调查的 13 款教育科技应用被发现暴露了 Android 广告 ID (AAID)。

接下来,IDAC 作者发现了第三方通信的重要示例。个人信息、设备信息、上下文信息和应用程序信息均已提供给第三方。在手动测试中,显示 123 个 ed 技术应用程序中有 79 个与第三方共享信息。

位置共享、个人信息、第三方通信等在这些应用程序中很常见

第四是身份桥接。该研究称,“当 Android ID 与 Android 广告 ID (AAID) 同时发送时,就会发生 ID 桥接”。这用于跟踪和开发针对使用这些 ed 技术应用程序的学生的特定广告。

IDAC 发现的最后一个问题是软件开发工具包 (SDK) 造成的隐私问题。第三方 SDK 是开发人员可以嵌入到 ed tech 应用程序中以执行特定任务的代码段。作者写道:“移动分析和广告 SDK 在教育技术应用程序(尤其是拥有年轻用户的应用程序)中构成了特别的风险,因为它们具有货币化能力。”

为了纠正 edtech 应用程序中的这些问题,并使家长和老师更加可靠和值得信赖,IDAC 建议了开发人员采取的措施,以确保 edtech 应用程序对学生来说是安全的。

IDAC 建议开发人员应避免共享位置和数据,除非有必要,在隐私政策中更加透明,使用最佳实践来检查没有向第三方发布 PII,确保保护措施和隐私控制到位,确定标识符是否是最合适的,有必要分享,仔细审查第三方SDK。

标签:

免责声明:本文由用户上传,如有侵权请联系删除!