Ключови изводи
- Изследовател по сигурността демонстрира, че както приложенията на Facebook, така и на Instagram в iOS вмъкват персонализиран код, докато отварят връзки в своите браузъри в приложението.
- Кодът заобикаля защитата на поверителността на Apple и потенциално може да се използва за проследяване и на уебсайтове на трети страни.
- Други експерти по сигурността предлагат да се избягва използването на браузъри в приложенията и очакват Apple да предприеме стъпки, за да анулира това решение.
Нови изследвания показват, че повечето приложения не използват уеб браузъра по подразбиране на смартфона, за да отварят връзки, което потенциално може да заобиколи функциите за сигурност и поверителност на операционната система.
Изследовател по сигурността, Феликс Краузе, показа, че Instagram и Facebook приложенията на Meta на iOS добавят някакъв JavaScript код към уебсайтове на трети страни, когато ги посещавате с помощта на персонализирания браузър в приложението на приложението. Браузърите в приложението позволяват на хората да посещават уебсайтове, без да напускат приложенията си. Вмъкнатият код позволява на приложенията потенциално да проследяват всички ваши взаимодействия с външни уебсайтове, заобикаляйки функцията за прозрачност за проследяване на приложения (ATT) на iOS. Apple добави ATT специално, за да принуди разработчиците на приложения да получат съгласието на хората, преди да проследяват данни, генерирани от трети страни.
„Заобиколното решение на Instagram не е изненадващо“, каза Лиор Яари, главен изпълнителен директор и съосновател на стартиращата компания за киберсигурност Grip Security, каза пред Lifewire по имейл. „Ограниченията на Apple заплашват сърцевината на бизнес модела на компанията, така че беше въпрос на адаптиране [за] оцеляване.“
Удар там, където боли
Meta открито призна, че функцията ATT й струва около 10 милиарда долара годишно приходи от реклами.
По време на своето изследване Краузе откри, че когато потребител на iOS на приложенията Facebook и Instagram кликне върху връзка в тези социални мрежи, те се отварят в браузъра в приложението.
Като минимум хората не трябва да използват браузъри в приложението, за да въвеждат чувствителна или поверителна информация.
Той предупреди, че персонализираният JavaScript код, инжектиран от браузъра в приложението, позволява на двете приложения потенциално да проследяват всяко едно взаимодействие с външни уебсайтове, включително всичко, което въвеждате в текстово поле, като пароли и адреси.
„С 1 милиард активни потребители на Instagram количеството данни, които Instagram може да събере чрез инжектиране на кода за проследяване във всеки уебсайт на трета страна, отворен от приложението Instagram & Facebook, е зашеметяващо количество“, пише Краузе.
Откритието не изненадва Джордж Герчоу, главен директор по сигурността и старши вицепрезидент по ИТ в Sumo Logic.
Говорейки с Lifewire по имейл, Герхов каза, че социалните медийни мрежи разполагат с едни от най-мощните алгоритми за изкуствен интелект и машинно обучение в света, които, комбинирани с техния постоянен опит да накарат хората да останат на техните платформи, става реална опасност.
"Силно вярвам, че Apple е знаела за това, но не е искала публичност", каза Герчоу, добавяйки, "[Apple] Safari също не е най-безопасният браузър."
Нека игрите започнат
Въпреки че Краузе не можа да проучи кода, за да разбере истинското му предназначение, той демонстрира как приложенията могат да работят около ATT ограниченията. Яари смята, че това трябва да накара Apple да се изправи, да обърне внимание и може би дори да въведе допълнителни ограничения за ограничаване на проследяването през браузъри в приложението.
"Това е началото на играта на котка и мишка, която двете компании ще играят, като резултатът ще има големи разклонения за индустрията", каза Яари.
Том Гаруба, директор, услуги за управление на риска на трети страни в Echelon Risk + Cyber, смята, че Apple изглежда е подобрила значително имиджа си по отношение на въпросите, свързани с поверителността, не само във възприятието, но и в действие чрез своето кодиране и внедряване.
"Може би ще е необходим колективен иск, лош PR и/или солидна глоба за нарушения на поверителността, за да разработчиците на приложения се събудят [на факта], че трябва да пекат „поверителност още по проект" във всички аспекти на разработването на код и предоставянето на услуги, “каза Garrubba пред Lifewire по имейл. „Предвиждам, че бездействието на големите технологии ще доведе това до съдебно дело или тежка санкция, която чака да се случи.“
Междувременно, за да защити поверителността ви, Krause предлага да излезете от браузъра в приложението и просто да копирате и поставите URL адреса, за да отворите в друг външен браузър.
"Поне хората не трябва да използват браузъри в приложенията, за да въвеждат чувствителна или поверителна информация", предлага Яари.
Нашите експерти обаче признават, че е малко вероятно много хора наистина да променят поведението си, тъй като това може да направи потребителското изживяване по-неудобно.
„За съжаление, тъй като 99,9% от хората страдат от нуждата от „незабавно удовлетворение“, те ще пропуснат тази стъпка и ще я отворят направо в браузъра си по подразбиране“, каза Гаруба. „Това очевидно е, което искат големите технологии и те най-вероятно ще получат данните, които искат.“