Kulcs elvitelek
- Egy biztonsági kutató bebizonyította, hogy az iOS rendszeren futó Facebook és Instagram alkalmazások is egyéni kódot szúrnak be, miközben megnyitják a hivatkozásokat az alkalmazáson belüli böngészőjükben.
- A kód megkerüli az Apple adatvédelmi védelmét, és potenciálisan harmadik felek webhelyein is nyomon követhető.
- Más biztonsági szakértők azt javasolják, hogy kerüljék az alkalmazáson belüli böngészők használatát, és elvárják az Apple-től, hogy tegyen lépéseket ennek a megoldásnak a megszüntetésére.
Új kutatás kimutatta, hogy a legtöbb alkalmazás nem az okostelefon alapértelmezett webböngészőjét használja a hivatkozások megnyitásához, ami potenciálisan megkerülheti az operációs rendszer biztonsági és adatvédelmi funkcióit.
Egy biztonsági kutató, Felix Krause kimutatta, hogy a Meta iOS rendszeren futó Instagram- és Facebook-alkalmazásai JavaScript-kódot adnak hozzá harmadik felek webhelyeihez, amikor az alkalmazás egyéni alkalmazáson belüli böngészőjével meglátogatja azokat. Az alkalmazáson belüli böngészők lehetővé teszik az emberek számára, hogy anélkül látogassanak webhelyeket, hogy elhagyják alkalmazásaikat. A beillesztett kód lehetővé teszi az alkalmazások számára, hogy nyomon kövessék a külső webhelyekkel folytatott összes interakciót, megkerülve az iOS App Tracking Transparency (ATT) funkcióját. Az Apple az ATT-t kifejezetten azért adta hozzá, hogy az alkalmazásfejlesztőket arra kényszerítse, hogy az emberek beleegyezését kérjék a harmadik felek által generált adatok nyomon követése előtt.
"Az Instagram megoldása nem meglepő" - mondta Lior Yaari, a Grip Security kiberbiztonsági startup vezérigazgatója és társalapítója a Lifewire-nek e-mailben. "Az Apple korlátozásai fenyegetik a vállalat üzleti modelljének magját, ezért a túléléshez alkalmazkodni kellett."
Új oda, ahol fáj
A Meta nyíltan elismerte, hogy az ATT funkció körülbelül évi 10 milliárd dollárjába került a hirdetési bevételekből.
Kutatása során Krause felfedezte, hogy amikor a Facebook és Instagram alkalmazások iOS-felhasználója rákattint egy linkre ezeken a közösségi hálózatokon, azok megnyílnak az alkalmazáson belüli böngészőben.
Legalábbis az emberek ne használjanak alkalmazáson belüli böngészőket érzékeny vagy bizalmas információk megadására.
Figyelmeztetett, hogy az alkalmazáson belüli böngésző által beillesztett egyéni JavaScript-kód lehetővé teszi, hogy mindkét alkalmazás nyomon kövessen minden egyes interakciót külső webhelyekkel, beleértve mindazt, amit a szövegdobozba ír be, például a jelszavakat és a címeket.
"Az 1 milliárd aktív Instagram-felhasználónál elképesztően sok adatot tud összegyűjteni az Instagram a követőkód beszúrásával az Instagram és Facebook alkalmazásból megnyitott minden harmadik fél webhelyére" - írta Krause.
A felfedezés nem lepte meg George Gerchow-t, a Sumo Logic biztonsági vezérigazgató-helyettesét és IT részlegének vezető alelnökét.
A Lifewire-nek e-mailben beszélve Gerchow elmondta, hogy a közösségi média hálózatok rendelkeznek a világ legerősebb mesterséges intelligencia- és gépi tanulási algoritmusaival, amelyek együtt járnak azzal az örökkévaló próbálkozásukkal, hogy az embereket a platformjukon maradjanak. valós veszély.
"Meggyőződésem, hogy az Apple tudott erről, de nem akarta a nyilvánosságot" - mondta Gerchow, majd hozzátette: "Az [Apple] Safari sem a legbiztonságosabb böngésző."
Kezdődjenek a játékok
Miközben Krause nem tudta megvizsgálni a kódot, hogy kiderítse a valódi szándékát, bemutatta, hogyan tudják az alkalmazások megkerülni az ATT-korlátozásokat. Yaari szerint ennek az Apple-nek fel kell állnia, észre kell vennie, és talán még további korlátozásokat is be kell vezetnie az alkalmazáson belüli böngészőkön keresztüli nyomon követés korlátozása érdekében.
"Ez a macska-egér játék kezdete, amelyet a két cég fog játszani, és az eredmény jelentős iparági következményekkel jár" - mondta Yaari.
Tom Garrubba, az Echelon Risk + Cyber harmadik felek kockázatkezelési szolgáltatásainak igazgatója úgy véli, hogy az Apple úgy tűnik, hogy nagymértékben javította az adatvédelmi kérdésekkel kapcsolatos imázsát, nem csak érzékelésben, hanem működésben is a kódolás és a telepítés révén.
"Talán egy csoportos perre, rossz PR-re és/vagy súlyos pénzbüntetésre lesz szükség az adatvédelem megsértése miatt, hogy az alkalmazásfejlesztők ráébredjenek [arra], hogy "beépített adatvédelmi védelmet" kell megvalósítaniuk. a kódfejlesztés és a szolgáltatásnyújtás minden aspektusában” – mondta Garrubba e-mailben a Lifewire-nek. "Azt jósolom, hogy a nagy technológia tétlensége pereskedéshez vagy súlyos büntetéshez fog vezetni."
Addig is a magánélet védelme érdekében Krause azt javasolja, hogy lépjen ki az alkalmazáson belüli böngészőből, és egyszerűen másolja be az URL-t, hogy megnyissa egy másik külső böngészőben.
"Legalábbis az emberek ne használjanak alkalmazáson belüli böngészőket érzékeny vagy bizalmas információk megadására" - javasolja Yaari.
Szakértőink azonban elismerik, hogy nem valószínű, hogy sokan valóban megváltoztatják a viselkedésüket, mivel ez kényelmetlenebbé teheti a felhasználói élményt.
"Sajnos, mivel az emberek 99,9%-a szenved az "azonnali kielégüléstől", kihagyják ezt a lépést, és közvetlenül az alapértelmezett böngészőjükben nyitják meg" - mondta Garrubba. "Egyértelműen ez az, amit a nagy technológia akar, és nagy valószínűséggel megkapják a kívánt adatokat."
