Facebook-sovelluksesi saattaa silti seurata sinua, vaikka sitä ei saa tehdä

August 16, 2022
SisäänUutiset Internet Turvallisuus

Tietoturvatutkija on osoittanut, että sekä Facebook- että Instagram-sovellukset iOS: ssä lisäävät mukautetun koodin avaaessaan linkkejä sovelluksen sisäisissä selaimissaan.
Koodi kiertää Applen yksityisyyden suojan, ja sitä voidaan mahdollisesti käyttää seuraamaan sinua myös kolmansien osapuolien verkkosivustoilla.
Muut tietoturva-asiantuntijat suosittelevat sovellusten sisäisten selainten käytön välttämistä ja odottavat Applen ryhtyvän toimiin tämän kiertotavan mitätöimiseksi.

Avoin yhdistelmälukko, joka istuu pöydällä makaavan älypuhelimen päällä. — boonchai wedmakawand / Getty Images

Uusi tutkimus on osoittanut, että useimmat sovellukset eivät käytä älypuhelimen oletusselainta linkkien avaamiseen, mikä voisi mahdollisesti kiertää käyttöjärjestelmän suojaus- ja tietosuojaominaisuudet.

Tietoturvatutkija Felix Krause on osoittanut, että Metan Instagram- ja Facebook-sovellukset iOS: ssä lisää JavaScript-koodia kolmannen osapuolen verkkosivustoille kun vierailet heillä sovelluksen mukautetulla sovelluksen sisäisellä selaimella. Sovelluksen sisäisten selaimien avulla ihmiset voivat vierailla verkkosivustoilla poistumatta sovelluksistaan. Lisätyn koodin avulla sovellukset voivat mahdollisesti seurata kaikkia vuorovaikutuksiasi ulkoisten verkkosivustojen kanssa, ohittaen iOS: n

Sovelluksen seurannan läpinäkyvyys (ATT) ominaisuus. Apple lisäsi ATT: n erityisesti pakottaakseen sovelluskehittäjät hankkimaan ihmisten suostumuksen ennen kolmansien osapuolten luomien tietojen seurantaa.

"Instagramin ratkaisu ei ole yllättävää" Lior Yaari, kyberturvallisuuden startup-yrityksen toimitusjohtaja ja perustaja Gripin turvallisuus, kertoi Lifewirelle sähköpostitse. "Applen rajoitukset uhkaavat yrityksen liiketoimintamallin ydintä, joten oli kysymys sopeutumisesta selviytyäkseen."

Lyöminen sinne, missä sattuu

Meta on avoimesti myöntänyt, että ATT-ominaisuus maksoi sille noin 10 miljardia dollaria vuodessa mainostuloissa.

Tutkimuksensa aikana Krause havaitsi, että kun Facebook- ja Instagram-sovellusten iOS-käyttäjä napsauttaa linkkiä näissä sosiaalisissa verkostoissa, ne avautuvat sovelluksen sisäisessä selaimessa.

Ihmisten ei tulisi ainakaan käyttää sovelluksen sisäisiä selaimia arkaluontoisten tai luottamuksellisten tietojen syöttämiseen.

Hän varoitti, että sovelluksen sisäisen selaimen lisäämä mukautettu JavaScript-koodi mahdollistaa sen, että molemmat sovellukset voivat seurata jokaista yksi vuorovaikutus ulkoisten verkkosivustojen kanssa, mukaan lukien kaikki, mitä kirjoitat tekstiruutuun, kuten salasanat ja osoitteita.

"1 miljardin aktiivisen Instagram-käyttäjän ansiosta Instagram voi kerätä dataa lisäämällä seurantaa koodi jokaiselle kolmannen osapuolen verkkosivustolle, joka avataan Instagram- ja Facebook-sovelluksesta, on hämmästyttävä määrä", kirjoitti Krause.

Löytö ei yllätä George Gerchow, turvallisuusjohtaja ja IT-osaston johtaja Sumo logiikka.

Puhuessaan Lifewirelle sähköpostitse Gerchow sanoi, että sosiaalisen median verkoilla on tehokkain tekoäly ja kone. oppimisalgoritmeja maailmassa, jotka yhdistettynä heidän ikuiseen yritykseensä saada ihmiset pysymään alustoillaan, muuttuvat todelliseksi vaara.

"Uskon vahvasti, että Apple on tiennyt tästä, mutta ei halunnut julkisuutta", Gerchow sanoi ja lisäsi, "[Applen] Safari ei myöskään ole turvallisin selaimista."

Aikuinen, joka käyttää älypuhelinta ja kannettavaa tietokonetta, kun kaksi kouluikäistä lasta tekevät läksynsä saman pöydän ääressä. — Momo Productions / Getty Images

Pelit alkakoon

Vaikka Krause ei voinut tutkia koodia selvittääkseen sen todellista tarkoitusta, hän osoitti, kuinka sovellukset voivat kiertää ATT-rajoituksia. Yaarin mielestä tämän pitäisi saada Apple seisomaan, huomioimaan ja ehkä jopa toteuttamaan lisärajoituksia sovelluksen sisäisten selainten kautta tapahtuvan seurannan rajoittamiseksi.

"Tämä on kissa ja hiiri -pelin alku, jonka kaksi yritystä pelaavat, ja lopputuloksella on merkittäviä toimialavaikutuksia", Yaari sanoi.

Tom Garrubba, johtaja, kolmannen osapuolen riskienhallintapalvelut osoitteessa Echelon Risk + Cyber, uskoo, että Apple näyttää parantaneen huomattavasti imagoaan yksityisyyden suojaamiseen liittyvissä asioissa, ei pelkästään havainnoissaan vaan myös toiminnassa koodauksen ja käyttöönoton kautta.

"Ehkä sovelluskehittäjiltä vaaditaan ryhmäkanne, huono PR ja/tai kova sakko yksityisyyden loukkauksista, jotta sovelluskehittäjät heräävät [ tosiasia], että heidän on sisällytettävä "suunniteltu yksityisyys" kaikkiin koodikehityksen ja palvelujen toimittamiseen", Garrubba kertoi Lifewirelle. sähköposti. "Ennustan, että suuren tekniikan toimimattomuus johtaa oikeudenkäyntiin tai raskaaseen rangaistukseen, joka odottaa tapahtumista."

Sillä välin tietosuojasi turvaamiseksi Krause ehdottaa, että suljet sovelluksen sisäisen selaimen ja kopioit ja liität URL-osoitteen avataksesi toisessa ulkoisessa selaimessa.

"Ihmisten ei tulisi ainakaan syöttää arkaluonteisia tai luottamuksellisia tietoja sovelluksen sisäisillä selaimilla", Yaari ehdottaa.

Asiantuntijamme kuitenkin myöntävät, että on epätodennäköistä, että monet ihmiset todella muuttavat käyttäytymistään, koska tämä voi tehdä käyttökokemuksesta epämukavamman.

"Valitettavasti, koska 99,9 % ihmisistä kärsii "välittömän tyydytyksen" tarpeesta, he ohittavat tämän vaiheen ja avaavat sen suoraan oletusselaimellaan", sanoi Garrubba. "Tämä on selvästi se, mitä iso teknologia haluaa, ja he todennäköisesti saavat haluamansa tiedot."