Võtmed kaasavõtmiseks
- Turbeteadlane on näidanud, et nii Facebooki kui ka Instagrami rakendused iOS-is sisestavad kohandatud koodi, kui nad avavad oma rakendusesiseses brauseris linke.
- Kood hoiab kõrvale Apple'i privaatsuskaitsest ja seda saab potentsiaalselt kasutada teie jälgimiseks ka kolmandate osapoolte veebisaitidel.
- Teised turbeeksperdid soovitavad vältida rakendusesiseste brauserite kasutamist ja eeldavad, et Apple astub samme selle lahenduse tühistamiseks.
Uued uuringud on näidanud, et enamik rakendusi ei kasuta linkide avamiseks nutitelefoni vaikeveebibrauserit, mis võib potentsiaalselt mööda hiilida operatsioonisüsteemi turva- ja privaatsusfunktsioonidest.
Turbeuurija Felix Krause on näidanud, et Meta Instagrami ja Facebooki rakendused iOS-is lisavad mõne JavaScripti koodi kolmandate osapoolte veebisaitidele, kui külastate neid rakenduse kohandatud rakendusesisese brauseriga. Rakendusesisesed brauserid võimaldavad inimestel külastada veebisaite rakendustest lahkumata. Sisestatud kood võimaldab rakendustel potentsiaalselt jälgida kõiki teie interaktsioone väliste veebisaitidega, möödudes iOS-i rakenduste jälgimise läbipaistvuse (ATT) funktsioonist. Apple lisas ATT spetsiaalselt selleks, et sundida rakenduste arendajaid saama inimeste nõusoleku enne kolmandate osapoolte loodud andmete jälgimist.
"Instagrami lahendus pole üllatav," ütles küberturvalisuse idufirma Grip Security tegevjuht ja kaasasutaja Lior Yaari Lifewire'ile e-posti teel. "Apple'i piirangud ohustavad ettevõtte ärimudeli tuuma, seega oli vaja kohaneda, et ellu jääda."
Lööb seal, kus valutab
Meta on avalikult tunnistanud, et ATT-funktsioon läks talle maksma umbes 10 miljardit dollarit aastas reklaamitulu.
Oma uurimistöö käigus avastas Krause, et kui Facebooki ja Instagrami rakenduste iOS-i kasutaja klõpsab nendes suhtlusvõrgustikes oleval lingil, avatakse need rakendusesiseses brauseris.
Inimesed ei tohiks tundliku või konfidentsiaalse teabe sisestamiseks kasutada vähem alt rakendusesiseseid brausereid.
Ta hoiatas, et kohandatud JavaScripti kood, mille rakendusesisene brauser sisestab, võimaldab mõlemal rakendusel jälgida iga interaktsiooni väliste veebisaitidega, sealhulgas kõike, mida tekstikasti sisestate, nagu paroolid ja aadressid.
"1 miljardi aktiivse Instagrami kasutajaga on andmete hulk, mida Instagram saab koguda, sisestades jälgimiskoodi igale kolmanda osapoole veebisaidile, mis on avatud Instagrami ja Facebooki rakendusest, "kirjutas Krause.
Avastus ei üllata George Gerchowit, Sumo Logici turvajuhti ja IT-osakonna vanemasepresidenti.
Lifewire'iga e-posti teel rääkides ütles Gerchow, et sotsiaalmeedia võrgustikel on maailma võimsaimad tehisintellekti ja masinõppe algoritmid, mis koos nende igavese katsega panna inimesi oma platvormidele jääma muutuvad reaalne oht.
"Usun kindl alt, et Apple on sellest teadnud, kuid ei tahtnud avalikustamist," ütles Gerchow ja lisas: "Ka [Apple'i] Safari pole kõige turvalisem brauserist."
Las mängud alata
Kuigi Krause ei suutnud koodi uurida, et välja selgitada selle tegelik eesmärk, demonstreeris ta, kuidas rakendused saavad ATT-piirangutest mööda minna. Yaari arvab, et see peaks panema Apple'i püsti tõusma, märkama ja võib-olla isegi rakendama täiendavaid piiranguid, et piirata jälgimist rakendusesiseste brauserite kaudu.
"See on kassi ja hiire mängu algus, mida kaks ettevõtet mängivad ja mille tulemusel on suured tagajärjed tööstusele," ütles Yaari.
Tom Garrubba, Echelon Risk + Cyberi kolmanda osapoole riskijuhtimisteenuste direktor, usub, et Apple on oluliselt parandanud oma mainet privaatsusküsimustega tegelemisel mitte ainult tajumises, vaid ka toimimises oma kodeerimise ja juurutamise kaudu.
"Võib-olla nõuab see ühishagi, halba suhtekorraldust ja/või privaatsusrikkumiste eest kopsakaid trahve, et rakenduste arendajad ärkaksid [tõsi,] et nad peavad küpsetama "privaatsust kavandatud kujul". koodiarenduse ja teenuste osutamise kõikidesse aspektidesse," ütles Garrubba Lifewire'ile meili teel. "Ma ennustan, et suure tehnika tegevusetus viib selle kohtuasjani või kopsaka karistuseni, mis ootab juhtumist."
Seni soovitab Krause privaatsuse kaitsmiseks rakendusesisesest brauserist väljuda ja lihts alt kopeerida URL, et avada teises välises brauseris.
"Inimesed ei tohiks tundliku või konfidentsiaalse teabe sisestamiseks vähem alt rakendusesiseseid brausereid kasutada," soovitab Yaari.
Samas tunnistavad meie eksperdid, et on ebatõenäoline, et paljud inimesed tegelikult oma käitumist muudavad, kuna see võib muuta kasutajakogemuse ebamugavamaks.
"Kahjuks, kuna 99,9% inimestest kannatab kohese rahulduse vajaduse all, jätavad nad selle sammu vahele ja avavad selle otse oma vaikebrauseris," ütles Garrubba. "See on selgelt see, mida suur tehnoloogia tahab, ja tõenäoliselt saavad nad soovitud andmed."