Privacy Violation: Health Information

식별된 함수가 건강 정보를 잘못 취급합니다. 이 프로그램은 사용자 개인 정보를 침해할 수 있습니다.

다음의 경우 개인 건강 정보가 누출될 수 있습니다.

1. 사용자의 건강 정보가 프로그램에 입력됩니다.

2. 데이터는 콘솔, file system 또는 네트워크와 같은 외부 위치에 작성됩니다.
예제 1: 다음 코드는 사용자 혈액형이 장치에 기록될 때 HealthKit 저장소에서 사용자 혈액형을 검색하여 이를 서버에 전송합니다. 많은 개발자가 로그 파일을 모든 데이터의 안전한 저장소로 보고 신뢰하지만 무조건 신뢰해서는 안 됩니다. 특히 개인 정보가 관련된 경우가 대표적입니다.

    ...
    HKHealthStore *healthStore = [[HKHealthStore alloc] init];
    HKBloodTypeObject *blood = [healthStore bloodTypeWithError:nil];

    NSLog(@"%@", [blood bloodType]);

    NSString *urlWithParams = [NSString stringWithFormat:TOKEN_URL, [blood bloodType]];

    NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:[NSURL URLWithString:urlWithParams]];
    [request setHTTPMethod:@"GET"];
    [[NSURLConnection alloc] initWithRequest:request delegate:self];
    ...

참고: NSLog 함수보다 저수준인 Apple Logging API를 사용하면 개발자는 장치에서 모든 로그를 읽을 수 있는 응용 프로그램을 만들 수 있습니다(다른 응용 프로그램을 소유하지 않은 경우에도).

사용자 데이터의 개인 정보 유지와 관련된 그 밖의 우려 사항들은 장치를 분실하거나 도난 당했을 때 발생합니다. iOS 장치를 확보한 공격자는 USB를 통해 해당 장치에 연결하여 막대한 양의 데이터에 접근할 수 있습니다. iOS 속성 목록(plist), SQLite 데이터베이스 등의 파일에 쉽게 접근하여 개인 정보를 확보할 수 있습니다. 원칙적으로 개인 건강 관련 정보는 파일 시스템에 보호되지 않은 상태로 저장하지 않아야 합니다.

예제 2: 다음 코드에서는 사용자의 혈액형을 사용자 기본값 목록에 추가하며 이를 즉시 plist 파일에 저장합니다.

    ...
    HKHealthStore *healthStore = [[HKHealthStore alloc] init];
    HKBloodTypeObject *blood = [healthStore bloodTypeWithError:nil];

    // Add blood type to user defaults
    [defaults setObject:[blood bloodType] forKey:@"bloodType"];

    [defaults synchronize];
    ...

개인 데이터의 잘못된 취급에 대응하기 위해 개인 데이터의 수집 및 관리에 대한 규제가 점점 엄격해지고 있습니다. 건강 정보의 경우 조직은 다음의 연방 정부 및 주 정부의 규제를 하나 이상 준수해야 할 수 있습니다.

- 세이프 하버 협정(Safe Harbor Privacy Framework)[2]

- GLBA(Gramm-Leach Bliley Act)[3]

- HIPAA(Health Insurance Portability and Accountability Act)[4]

- California SB-1386 [5]

이런 규제에도 불구하고 privacy violation은 우려할 만한 빈도로 계속 발생하고 있습니다.

식별된 함수가 건강 정보를 잘못 취급합니다. 이 프로그램은 사용자 개인 정보를 침해할 수 있습니다.

다음의 경우 개인 건강 정보가 누출될 수 있습니다.

1. 사용자의 건강 정보가 프로그램에 입력됩니다.

2. 데이터는 콘솔, file system 또는 네트워크와 같은 외부 위치에 작성됩니다.
예제 1: 다음 코드는 사용자 혈액형이 장치에 기록될 때 HealthKit 저장소에서 사용자 혈액형을 검색하여 이를 서버에 전송합니다. 많은 개발자가 로그 파일을 모든 데이터의 안전한 저장소로 보고 신뢰하지만 무조건 신뢰해서는 안 됩니다. 특히 개인 정보가 관련된 경우가 대표적입니다.

    ...
    let healthStore = HKHealthStore()
    let blood = try healthStore.bloodType()
    print(blood.bloodType)

    let urlString : String = "http://myserver.com/?data=\(blood.bloodType)"
    let url : NSURL = NSURL(string:urlString)
    let request : NSURLRequest = NSURLRequest(URL:url)
    var err : NSError?
    var response : NSURLResponse?
    var data : NSData =  NSURLConnection.sendSynchronousRequest(request, returningResponse: &response, error:&err)
    ...

참고: NSLog 함수보다 저수준인 Apple Logging API를 사용하면 개발자는 장치에서 모든 로그를 읽을 수 있는 응용 프로그램을 만들 수 있습니다(다른 응용 프로그램을 소유하지 않은 경우에도).

사용자 데이터의 개인 정보 유지와 관련된 그 밖의 우려 사항들은 장치를 분실하거나 도난 당했을 때 발생합니다. iOS 장치를 확보한 공격자는 USB를 통해 해당 장치에 연결하여 막대한 양의 데이터에 접근할 수 있습니다. iOS 속성 목록(plist), SQLite 데이터베이스 등의 파일에 쉽게 접근하여 개인 정보를 확보할 수 있습니다. 원칙적으로 개인 건강 관련 정보는 파일 시스템에 보호되지 않은 상태로 저장하지 않아야 합니다.

예제 2: 다음 코드에서는 사용자의 혈액형을 사용자 기본값 목록에 추가하며 이를 즉시 plist 파일에 저장합니다.

    ...
    let healthStore = HKHealthStore()
    let blood = try healthStore.bloodType()
    print(blood.bloodType)

    // Add blood type to user defaults
    defaults.setObject("BloodType" forKey:blood.bloodType)
    defaults.synchronize()
    ...

개인 데이터의 잘못된 취급에 대응하기 위해 개인 데이터의 수집 및 관리에 대한 규제가 점점 엄격해지고 있습니다. 건강 정보의 경우 조직은 다음의 연방 정부 및 주 정부의 규제를 하나 이상 준수해야 할 수 있습니다.

- 세이프 하버 협정(Safe Harbor Privacy Framework)[2]

- GLBA(Gramm-Leach Bliley Act)[3]

- HIPAA(Health Insurance Portability and Accountability Act)[4]

- California SB-1386 [5]

이런 규제에도 불구하고 privacy violation은 우려할 만한 빈도로 계속 발생하고 있습니다.