Vaše aplikace na Facebooku vás může stále sledovat, i když vám bylo řečeno, že ne

August 16, 2022
VZprávy Internetová Bezpečnost

Bezpečnostní výzkumník prokázal, že aplikace Facebook i Instagram na iOS vkládají vlastní kód při otevírání odkazů ve svých prohlížečích v aplikaci.
Kód obchází ochranu soukromí společnosti Apple a může být potenciálně použit ke sledování i na webech třetích stran.
Další bezpečnostní experti doporučují vyhnout se používání prohlížečů v aplikacích a očekávají, že Apple podnikne kroky k anulování tohoto řešení.

Otevřený kombinační zámek sedící na smartphonu, který leží na stole. — boonchai wedmakawand / Getty Images

Nový výzkum ukázal, že většina aplikací nepoužívá výchozí webový prohlížeč smartphonu k otevírání odkazů, což by mohlo potenciálně obcházet funkce zabezpečení a ochrany osobních údajů operačního systému.

Bezpečnostní výzkumník Felix Krause ukázal, že aplikace Meta Instagram a Facebook na iOS přidat nějaký kód JavaScript na webové stránky třetích stran když je navštívíte pomocí vlastního prohlížeče v aplikaci. Prohlížeče v aplikacích umožňují lidem navštěvovat webové stránky, aniž by opustili své aplikace. Vložený kód umožňuje aplikacím potenciálně sledovat všechny vaše interakce s externími webovými stránkami a obejít tak iOS'

Transparentnost sledování aplikací (ATT) Vlastnosti. Apple přidal ATT speciálně proto, aby přinutil vývojáře aplikací získat souhlas lidí před sledováním dat generovaných třetími stranami.

"Řešení na Instagramu není překvapivé," Lior Yaari, CEO a spoluzakladatel startupu v oblasti kybernetické bezpečnosti Zabezpečení rukojeti, řekl Lifewire e-mailem. "Omezení společnosti Apple ohrožují jádro obchodního modelu společnosti, takže šlo o to přizpůsobit se, abychom přežili."

Údery tam, kde to bolí

Meta otevřeně přiznala, že Funkce ATT ji stála asi 10 miliard dolarů ročně v příjmech z reklamy.

Během svého výzkumu Krause zjistil, že když uživatel iOS aplikací Facebook a Instagram klikne na odkaz v těchto sociálních sítích, otevře se v prohlížeči v aplikaci.

Lidé by minimálně neměli používat prohlížeče v aplikacích k zadávání jakýchkoli citlivých nebo důvěrných informací.

Varoval, že vlastní kód JavaScript, který vkládá prohlížeč v aplikaci, umožňuje oběma aplikacím potenciálně sledovat všechny jediná interakce s externími weby, včetně všeho, co zadáte do textového pole, jako jsou hesla a adresy.

„S 1 miliardou aktivních uživatelů Instagramu, množství dat, které Instagram může shromáždit zavedením sledování kód na každý web třetí strany otevřený z aplikace Instagram a Facebook je ohromující množství,“ napsal Krause.

Zjištění nepřekvapí George Gerchow, Chief Security Officer a Senior Vice President of IT ve společnosti Logika sumo.

Gerchow v rozhovoru pro Lifewire prostřednictvím e-mailu řekl, že sociální sítě mají jedny z nejvýkonnějších umělých inteligencí a strojů učební algoritmy ve světě, které se v kombinaci s jejich věčným pokusem přimět lidi, aby zůstali na jejich platformách, nebezpečí.

"Pevně věřím, že Apple o tom věděl, ale nechtěl publicitu," řekl Gerchow a dodal: "Ani Safari od [Apple] není nejbezpečnější z prohlížečů."

Dospělý používá smartphone a notebook, zatímco dvě děti školního věku dělají domácí úkoly u stejného stolu. — Momo Productions / Getty Images

Nechť hry započnou

I když Krause nemohl prozkoumat kód, aby zjistil jeho skutečný záměr, ukázal, jak mohou aplikace obejít omezení ATT. Yaari si myslí, že by to mělo Apple přimět, aby se postavil, vzal si na vědomí a možná dokonce zavedl další omezení k omezení sledování prostřednictvím prohlížečů v aplikacích.

"Je to začátek hry kočky a myši, kterou budou tyto dvě společnosti hrát, s výsledkem, který bude mít velké důsledky v oboru," řekl Yaari.

Tom Garrubba, ředitel, Služby řízení rizik třetích stran ve společnosti Echelon Risk + Cyber, věří, že Apple zjevně výrazně zlepšil svou image při řešení záležitostí týkajících se ochrany soukromí nejen ve vnímání, ale i v akci prostřednictvím svého kódování a nasazení.

„Možná to bude vyžadovat hromadnou žalobu, špatné PR a/nebo tučnou pokutu za porušení soukromí, aby se vývojáři aplikací probudili [ skutečnost], že musí do všech aspektů vývoje kódu a poskytování služeb zabudovat ‚privacy by design‘,“ řekl Garrubba Lifewire e-mailem. "Předpokládám, že nečinnost velkých technologií povede k soudnímu sporu nebo vysoké pokutě, která se bude čekat."

Mezitím, aby bylo chráněno vaše soukromí, Krause navrhuje ukončit prohlížeč v aplikaci a jednoduše zkopírovat a vložit adresu URL pro otevření v jiném externím prohlížeči.

„Lidé by přinejmenším neměli používat prohlížeče v aplikacích k zadávání jakýchkoli citlivých nebo důvěrných informací,“ navrhuje Yaari.

Naši odborníci však uznávají, že je nepravděpodobné, že by mnoho lidí ve skutečnosti změnilo své chování, protože by to mohlo způsobit nepohodlné používání.

„Bohužel, protože 99,9 % lidí trpí potřebou ‚okamžitého uspokojení‘, tento krok přeskočí a otevřou jej přímo ve svém výchozím prohlížeči,“ řekl Garrubba. "Toto je jasně to, co velké technologie chtějí, a s největší pravděpodobností získají data, která chtějí."