Kluczowe dania na wynos
- Badacz bezpieczeństwa wykazał, że aplikacje Facebook i Instagram na iOS wstawiają niestandardowy kod podczas otwierania linków w swoich przeglądarkach w aplikacji.
- Kod omija zabezpieczenia prywatności Apple i może być potencjalnie wykorzystany do śledzenia Cię również w witrynach innych firm.
- Inni eksperci ds. bezpieczeństwa sugerują unikanie korzystania z przeglądarek w aplikacjach i oczekują, że Apple podejmie kroki w celu unieważnienia tego obejścia.
Nowe badania wykazały, że większość aplikacji nie używa domyślnej przeglądarki internetowej smartfona do otwierania linków, co może potencjalnie obejść zabezpieczenia systemu operacyjnego i funkcje prywatności.
Badacz bezpieczeństwa, Felix Krause, wykazał, że aplikacje Meta na Instagram i Facebook na iOS dodają kod JavaScript do witryn innych firm, gdy odwiedzasz je za pomocą niestandardowej przeglądarki w aplikacji. Przeglądarki w aplikacji umożliwiają użytkownikom odwiedzanie witryn bez opuszczania aplikacji. Wstawiony kod pozwala aplikacjom potencjalnie śledzić wszystkie Twoje interakcje z zewnętrznymi witrynami internetowymi, z pominięciem funkcji Przejrzystości śledzenia aplikacji iOS (ATT). Firma Apple dodała ATT, aby zmusić twórców aplikacji do uzyskania zgody użytkowników przed śledzeniem danych generowanych przez strony trzecie.
„Obejście na Instagramie nie jest zaskakujące” – powiedział Lifewire Lior Yaari, dyrektor generalny i współzałożyciel startupu zajmującego się cyberbezpieczeństwem Grip Security. „Ograniczenia Apple zagrażają rdzeniowi modelu biznesowego firmy, więc była to kwestia przystosowania się do przetrwania”.
Uderzenie tam, gdzie boli
Meta otwarcie przyznała, że funkcja ATT kosztowała ją około 10 miliardów dolarów rocznie przychodu z reklam.
Podczas swoich badań Krause odkrył, że gdy użytkownik iOS aplikacji Facebook i Instagram kliknie łącze w tych sieciach społecznościowych, zostaną one otwarte w przeglądarce w aplikacji.
Przynajmniej ludzie nie powinni używać przeglądarek w aplikacji do wprowadzania jakichkolwiek poufnych lub poufnych informacji.
Ostrzegł, że niestandardowy kod JavaScript wstrzykiwany przez przeglądarkę w aplikacji umożliwia obu aplikacjom potencjalne śledzenie każdej interakcji z zewnętrznymi witrynami internetowymi, w tym wszystkiego, co wpisujesz w polu tekstowym, takim jak hasła i adresy.
„Przy 1 miliardzie aktywnych użytkowników Instagrama ilość danych, które Instagram może zebrać, wstrzykując kod śledzenia do każdej strony trzeciej otwieranej z aplikacji Instagram i Facebook, jest oszałamiająca” – napisał Krause.
Odkrycie nie dziwi George'a Gerchowa, dyrektora ds. bezpieczeństwa i starszego wiceprezesa ds. IT w Sumo Logic.
Rozmawiając z Lifewire przez e-mail, Gerchow powiedział, że sieci społecznościowe mają jedne z najpotężniejszych algorytmów sztucznej inteligencji i uczenia maszynowego na świecie, które w połączeniu z ich nieustanną próbą skłonienia ludzi do pozostania na swoich platformach prawdziwe niebezpieczeństwo.
„Głęboko wierzę, że Apple wiedziało o tym, ale nie chciało tego rozgłosu”, powiedział Gerchow, dodając, „[Apple] Safari też nie jest najbezpieczniejszą przeglądarką”.
Niech rozpocznie się gra
Chociaż Krause nie mógł zbadać kodu, aby ustalić jego prawdziwą intencję, zademonstrował, w jaki sposób aplikacje mogą obejść ograniczenia ATT. Yaari uważa, że powinno to skłonić Apple do wstania, zwrócenia uwagi, a być może nawet wprowadzenia dodatkowych ograniczeń w celu ograniczenia śledzenia przez przeglądarki w aplikacjach.
„To początek gry w kotka i myszkę, w którą zagrają obie firmy, a wynik będzie miał poważne konsekwencje dla branży” – powiedział Yaari.
Tom Garrubba, dyrektor, Third-Party Risk Management Services w Echelon Risk + Cyber, uważa, że Apple znacznie poprawiło swój wizerunek w zakresie rozwiązywania kwestii prywatności nie tylko w postrzeganiu, ale także w działaniu poprzez kodowanie i wdrażanie.
"Być może wystarczy pozew zbiorowy, zły PR i/lub słona grzywna za naruszenie prywatności programistów aplikacji, aby obudzić się [z faktem], że muszą zadbać o „poufność w fazie projektowania” we wszystkie aspekty tworzenia kodu i dostarczania usług” – powiedział Garrubba Lifewire przez e-mail. „Przewiduję, że bezczynność wielkich technologii doprowadzi do procesu sądowego lub surowej kary, która może się wydarzyć”.
W międzyczasie, aby chronić Twoją prywatność, Krause sugeruje wyjście z przeglądarki w aplikacji i po prostu skopiowanie i wklejenie adresu URL, aby otworzyć go w innej przeglądarce zewnętrznej.
„Przynajmniej ludzie nie powinni używać przeglądarek w aplikacji do wprowadzania jakichkolwiek poufnych lub poufnych informacji”, sugeruje Yaari.
Jednak nasi eksperci przyznają, że jest mało prawdopodobne, aby wiele osób faktycznie zmieniło swoje zachowanie, ponieważ może to sprawić, że wrażenia użytkownika będą bardziej niewygodne.
„Niestety, ponieważ 99,9% ludzi cierpi z powodu „natychmiastowej gratyfikacji”, pominą ten krok i otworzą go bezpośrednio w domyślnej przeglądarce” – powiedział Garrubba. „Oczywiście tego chce duża technika i najprawdopodobniej uzyskają dane, których chcą”.