[[441780]]

據(jù)非營(yíng)利組織Me2B Alliance近期發(fā)布的報(bào)告顯示，K-12教育使用的許多應(yīng)用程度存在各種嚴(yán)重的安全問(wèn)題，其中包括可能導(dǎo)致學(xué)生數(shù)據(jù)“不受監(jiān)管和失控”地分享給廣告公司。

Me2B共對(duì)38 所k-12學(xué)校使用的 73 個(gè)應(yīng)用程序，發(fā)現(xiàn)其中有60%的應(yīng)用會(huì)將學(xué)生數(shù)據(jù)發(fā)送給第三方;大約有50%的人講數(shù)據(jù)發(fā)送給了Google，約有10%的人將數(shù)據(jù)發(fā)送給Facebook。

值得一提的是，Me2B對(duì)一個(gè)名為“WebView”通用功能的使用進(jìn)行專門(mén)研究，該功能允許開(kāi)發(fā)人員將網(wǎng)頁(yè)集成到應(yīng)用程序中。在學(xué)校的很多應(yīng)用中都使用了該功能，它允許學(xué)校在應(yīng)用中集成動(dòng)態(tài)的網(wǎng)頁(yè)信息(例如日歷和體育賽事的結(jié)果)，且無(wú)需更新應(yīng)用程序。但是，它也很有可能導(dǎo)致學(xué)生數(shù)據(jù)被竊取，更糟糕的是，學(xué)生和家長(zhǎng)還可能因此成為網(wǎng)絡(luò)詐騙的目標(biāo)。

例如，研究人員多次觀察到學(xué)校應(yīng)用程序鏈接的網(wǎng)頁(yè)被劫持，導(dǎo)致用戶訪問(wèn)了惡意網(wǎng)站。馬里蘭州某個(gè)學(xué)校曾經(jīng)使用的一款應(yīng)用程序就是如此，將用戶定向至一個(gè)受感染的網(wǎng)站。德克薩斯州的某學(xué)校也在應(yīng)用中集成了一個(gè)體育域名，但是這個(gè)域名卻被一個(gè)惡意組織以30美元的價(jià)格買(mǎi)下，此類(lèi)威脅比比皆是。

另外，網(wǎng)絡(luò)犯罪分子經(jīng)常會(huì)定期掃描過(guò)期的URL，并將其用于商業(yè)電子郵件入侵計(jì)劃、網(wǎng)絡(luò)釣魚(yú)攻擊和惡意廣告活動(dòng)。如果學(xué)校忘記更新他們的域名，或者一些過(guò)期的域名被集成到學(xué)校的應(yīng)用程序中，那么他們很有可能處于威脅之下。

Me2B測(cè)試負(fù)責(zé)人Zach Edwards表示，“類(lèi)似的情況非常多，很多學(xué)校只是為非.gov域名選擇了私有域注冊(cè)商，但是經(jīng)常忘記及時(shí)更新。在我們報(bào)告這些問(wèn)題之前，很多學(xué)校甚至都沒(méi)有意識(shí)到，這些域名已經(jīng)不是他們的了。”

此外，Me2B報(bào)告還提供了一些降低安全風(fēng)險(xiǎn)的建議，包括培訓(xùn)應(yīng)用程序管理員、在學(xué)校創(chuàng)建流程以跟蹤過(guò)期的URL、要求學(xué)校在特定時(shí)間內(nèi)報(bào)告丟失的域名，以及啟動(dòng)“隱私賞金”計(jì)劃”在美國(guó)教育部審核學(xué)校應(yīng)用程序等。

參考來(lái)源：

https://therecord.media/study-finds-serious-security-risks-in-k-12-school-apps/?__cf_chl_jschl_tk__=NA6I1_Fdys5e7Xxv6AlvpRFndtiIijDsUE.gEnH8fJc-1640237830-0-gaNycGzNC_0