Teie Facebooki rakendus võib teid siiski jälgida, isegi kui teile öeldakse, et seda mitte teha

August 16, 2022
SisseUudised Interneti Turvalisus

Turvateadlane on näidanud, et nii Facebooki kui ka Instagrami rakendused iOS-is sisestavad kohandatud koodi, kui nad avavad oma rakendusesiseses brauseris linke.
Kood hoiab kõrvale Apple'i privaatsuskaitsest ja seda saab potentsiaalselt kasutada teie jälgimiseks ka kolmandate osapoolte veebisaitidel.
Teised turbeeksperdid soovitavad vältida rakendusesiseste brauserite kasutamist ja eeldavad, et Apple astub samme selle lahenduse tühistamiseks.

Lahtine kombinatsioonlukk, mis asub laual lebava nutitelefoni peal. — boonchai wedmakawand / Getty Images

Uued uuringud on näidanud, et enamik rakendusi ei kasuta linkide avamiseks nutitelefoni vaikeveebibrauserit, mis võib potentsiaalselt mööda hiilida operatsioonisüsteemi turva- ja privaatsusfunktsioonidest.

Turvauurija Felix Krause on näidanud, et Meta Instagrami ja Facebooki rakendused iOS-is lisage mõni JavaScripti kood kolmandate osapoolte veebisaitidele kui külastate neid rakenduse kohandatud rakendusesisese brauseriga. Rakendusesisesed brauserid võimaldavad inimestel külastada veebisaite rakendustest lahkumata. Sisestatud kood võimaldab rakendustel jälgida kõiki teie interaktsioone väliste veebisaitidega, möödudes iOS-ist.

Rakenduse jälgimise läbipaistvus (ATT) tunnusjoon. Apple lisas ATT spetsiaalselt selleks, et sundida rakenduste arendajaid saama inimeste nõusoleku enne kolmandate osapoolte loodud andmete jälgimist.

"Instagrami lahendus pole üllatav," Lior Yaari, küberturvalisuse idufirma tegevjuht ja kaasasutaja Käepideme turvalisus, ütles Lifewire'ile meili teel. "Apple'i piirangud ohustavad ettevõtte ärimudeli tuuma, seega oli vaja kohaneda, et ellu jääda."

Löömine sinna, kus valutab

Meta on avalikult tunnistanud, et ATT-funktsioon läks sellele maksma umbes 10 miljardit dollarit aastas reklaamitulus.

Oma uurimistöö käigus avastas Krause, et kui Facebooki ja Instagrami rakenduste iOS-i kasutaja klõpsab nende suhtlusvõrgustike lingil, avatakse need rakendusesiseses brauseris.

Inimesed ei tohiks vähemalt kasutada tundliku või konfidentsiaalse teabe sisestamiseks rakendusesiseseid brausereid.

Ta hoiatas, et kohandatud JavaScripti kood, mille rakendusesisene brauser sisestab, võimaldab mõlemal rakendusel kõiki neid jälgida ühekordne suhtlus väliste veebisaitidega, sealhulgas kõik, mida sisestate tekstikasti, nagu paroolid ja aadressid.

"1 miljardi aktiivse Instagrami kasutajaga suudab Instagram jälgimisfunktsiooni sisestades koguda andmeid kood igale Instagrami ja Facebooki rakendusest avatud kolmanda osapoole veebisaidile on vapustav summa,“ kirjutas Krause.

Avastus ei üllata George Gerchow, turvajuht ja IT-osakonna vanemasepresident Sumo loogika.

Gerchow ütles Lifewire'iga e-posti teel rääkides, et sotsiaalmeedia võrgustikel on üks võimsamaid tehisintellekti ja masinaid. õppimisalgoritmid maailmas, mis koos nende igavese katsega panna inimesi oma platvormidele jääma muutuvad tõeliseks oht.

"Usun kindlalt, et Apple on sellest teadnud, kuid ei tahtnud avalikustamist," ütles Gerchow, lisades: "Ka [Apple'i] Safari pole kõige turvalisem brauser."

Täiskasvanu, kes kasutab nutitelefoni ja sülearvutit, samal ajal kui kaks kooliealist last teevad kodutöid ühe laua taga. — Momo Productions / Getty Images

Las mängud alata

Kuigi Krause ei saanud koodi uurida, et välja selgitada selle tegelik kavatsus, näitas ta, kuidas rakendused saavad ATT-piirangutest mööda minna. Yaari arvab, et see peaks panema Apple'i püsti tõusma, märkama ja võib-olla isegi rakendama täiendavaid piiranguid, et piirata jälgimist rakendusesiseste brauserite kaudu.

"See on kassi ja hiire mängu algus, mida kaks ettevõtet mängivad ja millel on suured tagajärjed tööstusele," ütles Yaari.

Tom Garrubba, kolmanda osapoole riskijuhtimisteenuste direktor aadressil Echelon Risk + Cyber, usub, et Apple näib olevat oluliselt parandanud oma mainet privaatsusküsimustega tegelemisel mitte ainult tajumise, vaid ka tegevuse kaudu oma kodeerimise ja juurutamise kaudu.

"Võib-olla nõuab see ühishagi, halba suhtekorraldust ja/või privaatsusrikkumiste eest suurt trahvi, et rakenduste arendajad ärkaksid [ tõsiasi], et nad peavad koodiarenduse ja teenuste osutamise kõigisse aspektidesse lisama „privaatsuse kavandatud põhimõtete järgi”,“ ütles Garrubba Lifewire'ile. meili. "Ma ennustan, et suure tehnika tegevusetus viib selle kohtuasjani või kopsaka karistuseni, mis ootab juhtumist."

Senikaua soovitab Krause privaatsuse kaitsmiseks rakendusesisesest brauserist väljuda ja lihtsalt kopeerida URL, et avada teises välises brauseris.

"Minimaalselt ei tohiks inimesed kasutada tundliku või konfidentsiaalse teabe sisestamiseks rakendusesiseseid brausereid," soovitab Yaari.

Kuid meie eksperdid tunnistavad, et on ebatõenäoline, et paljud inimesed tegelikult oma käitumist muudavad, kuna see võib muuta kasutajakogemuse ebamugavamaks.

"Kahjuks, kuna 99,9% inimestest kannatab kohese rahulduse vajaduse all, jätavad nad selle sammu vahele ja avavad selle otse oma vaikebrauseris," ütles Garrubba. "See on selgelt see, mida suur tehnoloogia tahab, ja tõenäoliselt saavad nad soovitud andmed."