据非营利组织Me2B Alliance近期发布的报告显示，K-12教育使用的许多应用程度存在各种严重的安全问题，其中包括可能导致学生数据“不受监管和失控”地分享给广告公司。

Me2B共对38 所k-12学校使用的 73 个应用程序，发现其中有60%的应用会将学生数据发送给第三方；大约有50%的人讲数据发送给了Google，约有10%的人将数据发送给Facebook。

值得一提的是，Me2B对一个名为“WebView”通用功能的使用进行专门研究，该功能允许开发人员将网页集成到应用程序中。在学校的很多应用中都使用了该功能，它允许学校在应用中集成动态的网页信息（例如日历和体育赛事的结果），且无需更新应用程序。但是，它也很有可能导致学生数据被窃取，更糟糕的是，学生和家长还可能因此成为网络诈骗的目标。

例如，研究人员多次观察到学校应用程序链接的网页被劫持，导致用户访问了恶意网站。马里兰州某个学校曾经使用的一款应用程序就是如此，将用户定向至一个受感染的网站。德克萨斯州的某学校也在应用中集成了一个体育域名，但是这个域名却被一个恶意组织以30美元的价格买下，此类威胁比比皆是。

另外，网络犯罪分子经常会定期扫描过期的URL，并将其用于商业电子邮件入侵计划、网络钓鱼攻击和恶意广告活动。如果学校忘记更新他们的域名，或者一些过期的域名被集成到学校的应用程序中，那么他们很有可能处于威胁之下。

Me2B测试负责人Zach Edwards表示，“类似的情况非常多，很多学校只是为非.gov域名选择了私有域注册商，但是经常忘记及时更新。在我们报告这些问题之前，很多学校甚至都没有意识到，这些域名已经不是他们的了。”

此外，Me2B报告还提供了一些降低安全风险的建议，包括培训应用程序管理员、在学校创建流程以跟踪过期的URL、要求学校在特定时间内报告丢失的域名，以及启动“隐私赏金”计划”在美国教育部审核学校应用程序等。

参考来源：https://therecord.media/study-finds-serious-security-risks-in-k-12-school-apps/?__cf_chl_jschl_tk__=NA6I1_Fdys5e7Xxv6AlvpRFndtiIijDsUE.gEnH8fJc-1640237830-0-gaNycGzNC_0