「计谋与海外计划中心:需要对大科技公司进行监管色妈妈,不然将令蚁合安全进一步恶化」
2022年6月22日,计谋与海外计划中心 (Center for Strategic and International Studies,CSIS)发布其蚁合安全各人詹姆斯·安德鲁·刘易斯 (James Andrew Lewis) 撰写的《蚁合造孽和反把持(Cyber Crime and Antitrust)》。著述针对当今好意思国国会待决的反把持立法提案中的一些要求将赐与黑客赢利的契机作念出分析。其中,作家指出该法案中最具风险的要求是要求大型应用商店运营商在无任何安全审查的情况下允许第三方应用法子在其商店中提供处事,并允许任何开发者平直走访客户的迁移开发,该作念法被称为 "侧载"。天然此方法不错幸免好多企业向应用商店通盘者支付用度,但该要求也会为蚁合安全带来严重的安全隐患。
作家指出,黑客们至极熟谙如何让受害者在不知情的情况下自发下载和装置坏心软件从而获取他们电脑或手机的权限,此方法也被称为蚁合垂钓。而现如今,若是该法案确立,将未经审查的应用法子投放于商场下载任何应用法子的举措很有可能将会成为蚁合造孽者最优先礼聘的方法之一。这不仅会对个东说念主产生诓骗和掠夺作为,况兼会有创建应用法子的风险。一朝这些应用法子加载到个东说念主开发上,这将加大契机让造孽分子和间谍通过其对公司或政府蚁合进行走访,从应用法子与手机协同中获取职责所需的时代数据(如操作系统软件)。举例,飞马间谍软件(Pegasus),该软件可让时弊者在迁移开发上云尔装置法子,在受害者不知情或不甘心的情况下提供对子系东说念主、内容和其他数据的袒护走访。作家默示,如若思在欠亨知受害者的情况下装置软件是很难的,因此黑客经常领路过让受害者主动下载并装置中毒的应用法子的形势。作家指出,事实上,黑客和间谍的迫切见识即是赢得源代码,即被编译成策画机法子的呐喊,并奉告开发要作念什么。因此,如若他们约略走访源代码便不错让时弊者发现可应用的间隙或详情如何克服防范的要领。此外,由于现如今许多应用法子照旧有某种“Call Home” 竖立来收罗用户的数据,是以一个坏心的应用法子可能按捺易被发现。因此,该要求将会使应用商店将不得不允许用户走访那些他们无法详情其果然度的坏心应用法子,且莫得权益将其拒之门外。作家还指出,东说念主们以为只须正当企业才会发布新的应用法子或要求提供源代码是纯真的。践诺上,蚁合造孽分子和间谍齐是投契主义者,他们会立即对新的间隙作念出反映,比如,该法案意外中提供的间隙。他们领路过某些技能让索求源代码的申请看起来正规或通过创建一个皮包公司让东说念主们以为其是正当企业。如若该法案确立,好意思国商场将涌入大齐假网店、出售或出租的空头公司以过甚他坏心软件。
作家还发现了一些其他的潜在问题,比如,该法案很可能会在与中国的竞争中毁伤翻新或毁伤好意思国利益,但对蚁合安全的毁伤更是朝发夕至的问题。天然该法案的主要动机是为了让公司幸免应用商店的重大用度或允许用户不错不经预先审查纵情装置应用,还有其他对于应用商店反把持作为的指控,但这同期也意味着蚁合安全失去了“守门东说念主”。因此,作家提议了对立法修改的建议,那即是允许应用法子商店通盘者持续在销售前审查代码并只按“老本”为该处事收取用度,并持续阻难侧载。尽管这一作念法不可保证十足安全,可是,作家临了默示科技需要被监管不然蚁合安全将会为其付出更巨大且严重的代价。
国产巨乳詹姆斯·安德鲁·刘易斯(James Andrew Lewis):计谋与海外计划中心高等副总裁和计谋时代时势主任,专注于计划蚁合安全与科技、国防与安全、经济、地缘政事以及海外安全。
原文联结:https://www.csis.org/analysis/cyber-crime-and-antitrust色妈妈