Ваша Фацебоок апликација би вас и даље могла пратити, чак и након што вам је речено да то не ради

August 16, 2022
УВести Интернет и безбедност

Истраживач безбедности је показао да и Фацебоок и Инстаграм апликације на иОС-у убацују прилагођени код док отварају везе у својим претраживачима у апликацији.
Код заобилази Аппле-ову заштиту приватности и потенцијално се може користити за праћење вас и на веб локацијама трећих страна.
Други стручњаци за безбедност предлажу избегавање употребе претраживача у апликацији и очекују да ће Аппле предузети кораке да поништи ово решење.

Отворена комбинована брава која се налази на врху паметног телефона који лежи на столу. — боонцхаи ведмакаванд / Гетти Имагес

Ново истраживање је показало да већина апликација не користи подразумевани веб претраживач паметног телефона за отварање линкова, што би потенцијално могло да заобиђе безбедносне и карактеристике приватности оперативног система.

Истраживач безбедности, Феликс Краусе, показао је да Метине Инстаграм и Фацебоок апликације на иОС-у додајте неки ЈаваСцрипт код на веб локације трећих страна када их посетите користећи прилагођени прегледач у апликацији. Прегледачи у апликацијама омогућавају људима да посећују веб локације без напуштања својих апликација. Уметнути код омогућава апликацијама да потенцијално прате све ваше интеракције са спољним веб локацијама, заобилазећи иОС'

Транспарентност праћења апликација (АТТ) одлика. Аппле је додао АТТ посебно да би приморао програмере апликација да добију сагласност људи пре праћења података које генеришу треће стране.

„Инстаграмово решење није изненађујуће“, Лиор Иаари, извршни директор и суоснивач стартап-а за сајбер безбедност Грип Сецурити, рекао је за Лифевире преко е-поште. „Еплова ограничења угрожавају срж пословног модела компаније, тако да је било питање прилагођавања [да] опстане.“

Удари тамо где боли

Мета је отворено признао да је АТТ функција га је коштала око 10 милијарди долара годишње у приходима од огласа.

Током свог истраживања, Краусе је открио да када иОС корисник апликација Фацебоок и Инстаграм кликне на линк унутар ових друштвених мрежа, они се отварају у претраживачу у апликацији.

У најмању руку, људи не би требало да користе прегледаче у апликацији за унос било каквих осетљивих или поверљивих информација.

Он је упозорио да прилагођени ЈаваСцрипт код који прегледач у апликацији убацује омогућава обема апликацијама да потенцијално прате сваку једна интеракција са спољним веб локацијама, укључујући све што унесете у оквир за текст као што су лозинке и адресе.

„Са милијарду активних корисника Инстаграма, количину података коју Инстаграм може прикупити убризгавањем праћења кода на свакој веб локацији треће стране која се отвара из апликације Инстаграм и Фацебоок је запањујућа количина“, написао је Краусе.

Откриће не изненађује Георге Герцхов, шеф безбедности и виши потпредседник ИТ у Сумо Логиц.

Говорећи за Лифевире путем е-поште, Герхов је рекао да друштвене мреже имају неке од најмоћнијих вештачких интелигенција и машина алгоритама учења у свету, који, у комбинацији са њиховим вечитим покушајем да натерају људе да остану на својим платформама, постаје прави опасност.

„Чврсто верујем да је Аппле знао за ово, али није желео публицитет“, рекао је Герхов, додајући да „[Апплеов] Сафари такође није најбезбеднији претраживач“.

Одрасла особа која користи паметни телефон и лаптоп док двоје деце школског узраста раде домаћи за истим столом. — Момо Продуцтионс / Гетти Имагес

Нека игре почну

Иако Краусе није могао да испита код да би открио његову праву намеру, показао је како апликације могу да заобиђу АТТ ограничења. Иаари сматра да би ово требало да натера Аппле да устане, обрати пажњу и можда чак примени додатна ограничења за ограничавање праћења преко претраживача у апликацији.

„То је почетак игре мачке и миша коју ће две компаније играти, а резултат ће имати велике последице у индустрији“, рекао је Јаари.

Том Гаррубба, директор, услуге управљања ризицима трећих страна у Ецхелон Риск + Цибер, верује да је Аппле увелико побољшао свој имиџ у решавању питања приватности не само у перцепцији већ иу акцији путем кодирања и примене.

„Можда ће бити потребна групна тужба, лош ПР и/или велика новчана казна за кршење приватности за програмере апликација да се пробуде [на чињеница] да морају да унесу 'приватност по дизајну' у све аспекте развоја кода и пружања услуга", рекао је Гарруба за Лифевире емаил. „Предвиђам да ће неактивност великих технологија довести до тужбе или тешке казне која чека да се деси.

У међувремену, да би заштитио вашу приватност, Краусе предлаже да изађете из прегледача у апликацији и једноставно копирате и залепите УРЛ да бисте га отворили у другом спољном прегледачу.

„У најмању руку, људи не би требало да користе претраживаче у апликацији за унос било каквих осетљивих или поверљивих информација“, сугерише Иаари.

Међутим, наши стручњаци признају да је мало вероватно да ће многи људи заиста променити своје понашање јер би то могло да учини корисничко искуство још незгоднијим.

„Нажалост, пошто 99,9% људи пати од потребе за „тренутним задовољством“, они ће прескочити овај корак и отворити га директно у свом подразумеваном претраживачу“, рекао је Гарруба. „Ово је очигледно оно што велика технологија жели и највероватније ће добити податке које желе.