Je Facebook-app kan je nog steeds volgen, zelfs nadat hem is verteld dat niet te doen

August 16, 2022
InNieuws Internet Beveiliging

Een beveiligingsonderzoeker heeft aangetoond dat zowel Facebook- als Instagram-apps op iOS een aangepaste code invoegen bij het openen van links in hun in-app-browsers.
De code omzeilt de privacybescherming van Apple en kan mogelijk worden gebruikt om u ook op websites van derden te volgen.
Andere beveiligingsexperts stellen voor om het gebruik van in-app-browsers te vermijden en verwachten dat Apple stappen onderneemt om deze tijdelijke oplossing teniet te doen.

Een open combinatieslot bovenop een smartphone die op tafel ligt. — boonchai wedmakawand / Getty Images

Nieuw onderzoek heeft aangetoond dat de meeste apps de standaardwebbrowser van de smartphone niet gebruiken om links te openen, waardoor de beveiligings- en privacyfuncties van het besturingssysteem mogelijk kunnen worden omzeild.

Een beveiligingsonderzoeker, Felix Krause, heeft aangetoond dat Meta's Instagram- en Facebook-apps op iOS voeg wat JavaScript-code toe aan websites van derden wanneer u ze bezoekt met behulp van de aangepaste in-app-browser van de app. Met in-app-browsers kunnen mensen websites bezoeken zonder hun apps te verlaten. Met de ingevoegde code kunnen de apps mogelijk al uw interacties met externe websites volgen, waarbij iOS wordt omzeild

App-trackingtransparantie (ATT) voorzien zijn van. Apple heeft ATT specifiek toegevoegd om app-ontwikkelaars te dwingen de toestemming van mensen te krijgen voordat ze gegevens bijhouden die door derden zijn gegenereerd.

"Instagram's oplossing is niet verrassend", Lior Yaari, CEO en mede-oprichter van cybersecurity startup Grip-beveiliging, vertelde Lifewire via e-mail. "De beperkingen van Apple bedreigen de kern van het bedrijfsmodel van het bedrijf, dus het was een kwestie van aanpassen [om] te overleven."

Slaan waar het pijn doet

Meta heeft openlijk toegegeven dat de ATT-functie kostte het ongeveer $ 10 miljard per jaar in advertentie-inkomsten.

Tijdens zijn onderzoek ontdekte Krause dat wanneer een iOS-gebruiker van de Facebook- en Instagram-apps op een link binnen deze sociale netwerken klikt, deze worden geopend in de in-app browser.

Mensen mogen in ieder geval geen in-app-browsers gebruiken om gevoelige of vertrouwelijke informatie in te voeren.

Hij waarschuwde dat de aangepaste JavaScript-code die de in-app-browser injecteert, beide apps in staat stelt om elke enkele interactie met externe websites, inclusief alles wat u typt in een tekstvak zoals wachtwoorden en adressen.

"Met 1 miljard actieve Instagram-gebruikers, de hoeveelheid gegevens die Instagram kan verzamelen door de tracking te injecteren code in elke website van derden die wordt geopend vanuit de Instagram- en Facebook-app is een duizelingwekkende hoeveelheid", schreef Krause.

De ontdekking verbaast niet George Gerchow, Chief Security Officer en Senior Vice President van IT bij Sumologica.

Sprekend met Lifewire via e-mail, zei Gerchow dat sociale-medianetwerken enkele van de krachtigste kunstmatige intelligentie en machine hebben lerende algoritmen in de wereld, die, in combinatie met hun eeuwige poging om mensen op hun platforms te laten blijven, een echte Gevaar.

"Ik ben ervan overtuigd dat Apple hiervan op de hoogte was, maar de publiciteit niet wilde," zei Gerchow, eraan toevoegend: "[Apple's] Safari is ook niet de veiligste van alle browsers."

Een volwassene die een smartphone en laptop gebruikt terwijl twee schoolgaande kinderen hun huiswerk maken aan dezelfde tafel. — Momo Productions / Getty Images

Laat het spel beginnen

Hoewel Krause de code niet kon onderzoeken om erachter te komen wat de echte bedoeling was, demonstreerde hij wel hoe apps de ATT-beperkingen konden omzeilen. Yaari denkt dat dit Apple ertoe zou moeten brengen op te staan, op te letten en misschien zelfs extra beperkingen te implementeren om het volgen via in-app-browsers te beperken.

"Het is het begin van het kat-en-muisspel dat de twee bedrijven zullen spelen, met grote gevolgen voor de industrie", zegt Yaari.

Tom Garrubba, Directeur, Risicobeheerservices van derden bij Echelonrisico + cyber, is van mening dat Apple zijn imago aanzienlijk heeft verbeterd met betrekking tot het aanpakken van privacykwesties, niet alleen in perceptie, maar ook in actie via de codering en implementatie.

"Misschien is er een class action-rechtszaak, slechte PR en/of een forse boete voor privacyschendingen nodig voor applicatieontwikkelaars om wakker te worden [tot de feit] dat ze 'privacy by design' moeten integreren in alle aspecten van code-ontwikkeling en dienstverlening", vertelde Garrubba aan Lifewire over e-mail. "Ik voorspel dat inactiviteit van grote techneuten dit zal leiden tot een rechtszaak of een flinke boete die wacht om te gebeuren."

Om uw privacy te beschermen, stelt Krause in de tussentijd voor om de in-app-browser te verlaten en de URL te kopiëren en plakken om deze in een andere externe browser te openen.

"Mensen zouden in ieder geval geen in-app-browsers moeten gebruiken om gevoelige of vertrouwelijke informatie in te voeren", stelt Yaari voor.

Onze experts erkennen echter dat het onwaarschijnlijk is dat veel mensen hun gedrag daadwerkelijk zullen veranderen, omdat dit de gebruikerservaring ongemakkelijker kan maken.

"Helaas, aangezien 99,9% van de mensen lijdt aan de behoefte aan 'onmiddellijke bevrediging', zullen ze deze stap overslaan en rechtstreeks in hun standaardbrowser openen", zegt Garrubba. "Dit is duidelijk wat grote techneuten willen, en ze zullen hoogstwaarschijnlijk de gegevens krijgen die ze willen."