Twoja aplikacja na Facebooku może nadal Cię śledzić, nawet po otrzymaniu zakazu

August 16, 2022
WAktualności Ochrona Internetu

Badacz bezpieczeństwa wykazał, że zarówno aplikacje Facebook, jak i Instagram na iOS wstawiają niestandardowy kod podczas otwierania linków w swoich przeglądarkach w aplikacji.
Kod omija ochronę prywatności Apple i może być potencjalnie wykorzystany do śledzenia Cię również na stronach internetowych stron trzecich.
Inni eksperci ds. bezpieczeństwa sugerują unikanie korzystania z przeglądarek w aplikacji i oczekują, że Apple podejmie kroki w celu unieważnienia tego obejścia.

Otwarty zamek szyfrowy umieszczony na smartfonie leżącym na stole. — boonchai wedmakawand / Getty Images

Nowe badania wykazały, że większość aplikacji nie używa domyślnej przeglądarki internetowej smartfona do otwierania linków, co może potencjalnie ominąć zabezpieczenia i funkcje prywatności systemu operacyjnego.

Badacz bezpieczeństwa, Felix Krause, wykazał, że aplikacje Meta na Instagram i Facebook na iOS dodać kod JavaScript do stron internetowych osób trzecich kiedy je odwiedzasz, korzystając z niestandardowej przeglądarki w aplikacji. Przeglądarki w aplikacji umożliwiają użytkownikom odwiedzanie witryn bez opuszczania aplikacji. Wstawiony kod pozwala aplikacjom potencjalnie śledzić wszystkie twoje interakcje z zewnętrznymi stronami internetowymi, z pominięciem iOS'a

Przejrzystość śledzenia aplikacji (ATT) funkcja. Firma Apple dodała ATT, aby zmusić twórców aplikacji do uzyskania zgody użytkowników przed śledzeniem danych generowanych przez strony trzecie.

„Obejście na Instagramie nie jest zaskakujące” Lior Yaari, CEO i współzałożyciel startupu cyberbezpieczeństwa Bezpieczeństwo chwytu, powiedział Lifewire przez e-mail. „Ograniczenia Apple zagrażają rdzeniowi modelu biznesowego firmy, więc była to kwestia dostosowania się do przetrwania”.

Uderzanie tam, gdzie boli

Meta otwarcie przyznała, że Funkcja ATT kosztowała ją około 10 miliardów dolarów rocznie w przychodach z reklam.

Podczas swoich badań Krause odkrył, że gdy użytkownik iOS aplikacji Facebook i Instagram kliknie łącze w tych sieciach społecznościowych, zostaną one otwarte w przeglądarce w aplikacji.

Przynajmniej ludzie nie powinni używać przeglądarek w aplikacji do wprowadzania jakichkolwiek poufnych lub poufnych informacji.

Ostrzegł, że niestandardowy kod JavaScript, który wstrzykuje przeglądarka w aplikacji, umożliwia obu aplikacjom śledzenie każdego pojedyncza interakcja z zewnętrznymi stronami internetowymi, w tym wszystko, co wpisujesz w pole tekstowe, takie jak hasła i adresy.

„Z 1 miliardem aktywnych użytkowników Instagrama, ilość danych, które Instagram może zebrać, wstrzykując śledzenie kod do każdej strony trzeciej otwieranej z aplikacji Instagram i Facebook to oszałamiająca ilość ”- napisał Krause.

Odkrycie nie zaskakuje Jerzy Gerchow, dyrektor ds. bezpieczeństwa i starszy wiceprezes ds. IT w Logika sumo.

W rozmowie z Lifewire przez e-mail Gerchow powiedział, że sieci społecznościowe mają jedne z najpotężniejszych maszyn i sztucznej inteligencji uczenie się algorytmów na świecie, które w połączeniu z ich nieustanną próbą skłonienia ludzi do pozostania na swoich platformach, stają się prawdziwym zagrożenie.

„Głęboko wierzę, że Apple wiedział o tym, ale nie chciał rozgłosu”, powiedział Gerchow, dodając, „[Apple] Safari też nie jest najbezpieczniejszą przeglądarką”.

Dorosły korzystający ze smartfona i laptopa, podczas gdy dwoje dzieci w wieku szkolnym odrabia lekcje przy tym samym stole. — Momo Productions / Getty Images

Niech rozpocznie się gra

Chociaż Krause nie mógł zbadać kodu, aby dowiedzieć się, jaki jest jego prawdziwy zamiar, zademonstrował, w jaki sposób aplikacje mogą obejść ograniczenia ATT. Yaari uważa, że powinno to skłonić Apple do wstania, zwrócenia uwagi, a być może nawet wprowadzenia dodatkowych ograniczeń w celu ograniczenia śledzenia przez przeglądarki w aplikacjach.

„To początek gry w kotka i myszkę, w którą zagrają obie firmy, a wynik będzie miał poważne konsekwencje dla branży” – powiedział Yaari.

Tom Garrubba, Dyrektor, Usługi Zarządzania Ryzykiem Osób Trzecich w Ryzyko Echelon + Cyber, uważa, że wydaje się, że Apple znacznie poprawił swój wizerunek w zakresie rozwiązywania kwestii prywatności nie tylko w postrzeganiu, ale także w działaniu poprzez kodowanie i wdrażanie.

„Być może trzeba będzie pozwu zbiorowego, złego PR i/lub ogromnej grzywny za naruszenie prywatności, aby twórcy aplikacji obudzili się [do fakt], że muszą wprowadzić „prywatność na etapie projektowania” we wszystkich aspektach tworzenia kodu i świadczenia usług” – powiedział Garrubba w rozmowie z Lifewire. e-mail. „Przewiduję, że bezczynność wielkich technologii doprowadzi do pozwu lub srogiej kary, która może się wydarzyć”.

W międzyczasie, aby chronić Twoją prywatność, Krause sugeruje wyjście z przeglądarki w aplikacji i po prostu skopiuj i wklej adres URL, aby otworzyć go w innej przeglądarce zewnętrznej.

„Przynajmniej ludzie nie powinni używać przeglądarek w aplikacji do wprowadzania jakichkolwiek poufnych lub poufnych informacji” – sugeruje Yaari.

Jednak nasi eksperci przyznają, że jest mało prawdopodobne, aby wiele osób faktycznie zmieniło swoje zachowanie, ponieważ może to sprawić, że wrażenia użytkownika będą bardziej niewygodne.

„Niestety, ponieważ 99,9% ludzi cierpi z powodu „natychmiastowej gratyfikacji”, pominą ten krok i otworzą go bezpośrednio w domyślnej przeglądarce” – powiedział Garrubba. „To jest wyraźnie to, czego chce duża technologia i najprawdopodobniej uzyskają dane, których chcą”.