Ključni izsledki
- Raziskovalec varnosti je dokazal, da aplikaciji Facebook in Instagram v sistemu iOS vstavita kodo po meri med odpiranjem povezav v svojih brskalnikih v aplikaciji.
- Koda zaobide Applovo zaščito zasebnosti in se lahko potencialno uporabi tudi za sledenje na spletnih mestih tretjih oseb.
- Drugi strokovnjaki za varnost predlagajo, da se izogibate uporabi brskalnikov v aplikaciji in pričakujete, da bo Apple ukrepal za izničenje te rešitve.
Nove raziskave so pokazale, da večina aplikacij ne uporablja privzetega spletnega brskalnika pametnega telefona za odpiranje povezav, kar bi lahko zaobšlo varnostne in zasebnostne funkcije operacijskega sistema.
Raziskovalec varnosti, Felix Krause, je pokazal, da Metini aplikaciji Instagram in Facebook v sistemu iOS dodata nekaj kode JavaScript spletnim mestom tretjih oseb, ko jih obiščete z brskalnikom po meri v aplikaciji. Brskalniki v aplikaciji omogočajo ljudem, da obiščejo spletna mesta, ne da bi zapustili svoje aplikacije. Vstavljena koda omogoča aplikacijam, da potencialno sledijo vsem vašim interakcijam z zunanjimi spletnimi mesti, pri čemer obidejo iOS-ovo funkcijo App Tracking Transparency (ATT). Apple je dodal ATT posebej, da bi prisilil razvijalce aplikacij, da pridobijo soglasje ljudi, preden sledijo podatkom, ki so jih ustvarile tretje osebe.
"Instagramova rešitev ni presenetljiva," je za Lifewire po e-pošti povedal Lior Yaari, izvršni direktor in soustanovitelj startupa za kibernetsko varnost Grip Security. "Applove omejitve ogrožajo jedro poslovnega modela podjetja, zato je šlo za prilagoditev [za] preživetje."
Udari, kjer boli
Meta je odkrito priznala, da jo je funkcija ATT stala približno 10 milijard dolarjev prihodkov od oglasov na leto.
Med svojim raziskovanjem je Krause odkril, da ko uporabnik iOS aplikacij Facebook in Instagram klikne povezavo znotraj teh socialnih omrežij, se ta odprejo v brskalniku v aplikaciji.
Ljudje vsaj ne bi smeli uporabljati brskalnikov v aplikaciji za vnos občutljivih ali zaupnih podatkov.
Opozoril je, da koda JavaScript po meri, ki jo vstavi brskalnik v aplikaciji, omogoča obema aplikacijama morebitno sledenje vsaki posamezni interakciji z zunanjimi spletnimi mesti, vključno z vsem, kar vnesete v besedilno polje, kot so gesla in naslovi.
»Z 1 milijardo aktivnih uporabnikov Instagrama je količina podatkov, ki jih Instagram lahko zbere z vstavitvijo kode za sledenje na vsako spletno mesto tretje osebe, odprto v aplikaciji Instagram & Facebook, osupljiva količina,« je zapisal Krause.
Odkritje ne preseneča Georgea Gerchowa, glavnega varnostnika in višjega podpredsednika IT pri Sumo Logic.
V pogovoru za Lifewire po e-pošti je Gerchow dejal, da imajo omrežja družbenih medijev nekaj najmočnejših algoritmov umetne inteligence in strojnega učenja na svetu, kar v kombinaciji z njihovim nenehnim poskusom, da bi ljudi obdržali na njihovih platformah, postane realna nevarnost.
"Trdno verjamem, da je Apple vedel za to, vendar ni želel publicitete," je dejal Gerchow in dodal, "Tudi [Applov] Safari ni najvarnejši brskalnik."
Naj se igre začnejo
Čeprav Krause ni mogel pregledati kode, da bi ugotovil njen pravi namen, je pokazal, kako lahko aplikacije zaobidejo omejitve ATT. Yaari meni, da bi moral Apple zaradi tega vztrajati, biti pozoren in morda celo uvesti dodatne omejitve za omejitev sledenja prek brskalnikov v aplikaciji.
"To je začetek igre mačke z mišjo, ki jo bosta igrali podjetji, rezultat pa bo imel velike posledice za industrijo," je dejal Yaari.
Tom Garrubba, direktor storitev obvladovanja tveganj tretjih oseb pri Echelon Risk + Cyber, meni, da se zdi, da je Apple močno izboljšal svojo podobo pri obravnavi vprašanj zasebnosti, ne samo v zaznavanju, ampak tudi v dejanjih s svojim kodiranjem in uvajanjem.
"Morda bo potrebna skupinska tožba, slab odnos do javnosti in/ali visoka globa za kršitve zasebnosti, da se bodo razvijalci aplikacij zbudili [dejstva], da morajo pripraviti 'zasebnost po načrtu' v vse vidike razvoja kode in zagotavljanja storitev, « je Garrubba povedal Lifewire po elektronski pošti. "Predvidevam, da bo neukrepanje velikega tehnološkega sektorja vodilo do tožbe ali visoke kazni, ki čaka."
Za zaščito vaše zasebnosti Krause medtem predlaga, da zaprete brskalnik v aplikaciji in preprosto kopirate in prilepite URL, da ga odprete v drugem zunanjem brskalniku.
»Vsaj ljudje ne bi smeli uporabljati brskalnikov v aplikaciji za vnašanje občutljivih ali zaupnih podatkov,« predlaga Yaari.
Vendar pa naši strokovnjaki priznavajo, da je malo verjetno, da bo veliko ljudi dejansko spremenilo svoje vedenje, saj bi to lahko naredilo uporabniško izkušnjo bolj neprijetno.
"Na žalost, ker 99,9 % ljudi trpi za potrebo po 'takojšnji zadovoljitvi', bodo preskočili ta korak in ga odprli kar v privzetem brskalniku," je dejal Garrubba. "To je očitno tisto, kar velika tehnologija želi, in najverjetneje bodo dobili želene podatke."
