Sleutel wegneemetes
- 'n Sekuriteitsnavorser het getoon dat beide Facebook- en Instagram-toepassings op iOS 'n pasgemaakte kode invoeg terwyl hulle skakels in hul inprogram-blaaiers oopmaak.
- Die kode omseil Apple se privaatheidbeskerming en kan moontlik gebruik word om jou ook op derdeparty-webwerwe na te spoor.
- Ander sekuriteitskenners stel voor dat jy die gebruik van inprogram-blaaiers vermy en verwag dat Apple stappe sal neem om hierdie oplossing te vernietig.
Nuwe navorsing het getoon dat die meeste toepassings nie die slimfoon se verstekwebblaaier gebruik om skakels oop te maak nie, wat moontlik die bedryfstelsel se sekuriteit- en privaatheidkenmerke kan omseil.
'n Sekuriteitsnavorser, Felix Krause, het getoon dat Meta se Instagram- en Facebook-toepassings op iOS 'n paar JavaScript-kode by derdeparty-webwerwe voeg wanneer jy dit besoek deur die toepassing se pasgemaakte inprogramblaaier te gebruik. Inprogram-blaaiers laat mense toe om webwerwe te besoek sonder om hul toepassings te verlaat. Die ingevoegde kode stel die toepassings in staat om moontlik al jou interaksies met eksterne webwerwe na te spoor, en omseil iOS se App Tracking Transparency (ATT)-kenmerk. Apple het ATT spesifiek bygevoeg om programontwikkelaars te dwing om mense se toestemming te kry voordat hulle data wat deur derde partye gegenereer word naspoor.
"Instagram se oplossing is nie verbasend nie," het Lior Yaari, uitvoerende hoof en medestigter van die kubersekuriteit-opstartgroep Grip Security, per e-pos aan Lifewire gesê. "Apple se beperkings bedreig die kern van die maatskappy se sakemodel, so dit was 'n kwessie van aanpas [om] te oorleef."
Slaan waar dit seer is
Meta het openlik erken dat die ATT-funksie hom sowat $10 miljard per jaar aan advertensie-inkomste kos.
Tydens sy navorsing het Krause ontdek dat wanneer 'n iOS-gebruiker van die Facebook- en Instagram-toepassings 'n skakel binne hierdie sosiale netwerke klik, dit in die inprogram-blaaier oopgemaak word.
Mense moet ten minste nie inprogram-blaaiers gebruik om enige sensitiewe of vertroulike inligting in te voer nie.
Hy het gewaarsku dat die pasgemaakte JavaScript-kode wat die inprogram-blaaier inspuit, beide programme in staat stel om moontlik elke enkele interaksie met eksterne webwerwe na te spoor, insluitend alles wat jy in 'n tekskassie tik soos wagwoorde en adresse.
"Met 1 miljard aktiewe Instagram-gebruikers is die hoeveelheid data wat Instagram kan insamel deur die naspoorkode in te spuit in elke derdeparty-webwerf wat vanaf die Instagram- en Facebook-toepassing oopgemaak word, 'n verbysterende bedrag," het Krause geskryf.
Die ontdekking verbaas nie George Gerchow, hoofsekuriteitsbeampte en senior vise-president van IT by Sumo Logic nie.
Praat met Lifewire oor e-pos, het Gerchow gesê sosiale media netwerke het van die kragtigste kunsmatige intelligensie en masjienleer algoritmes in die wêreld, wat, in kombinasie met hul ewige poging om mense te kry om op hul platforms te bly, word 'n werklike gevaar.
"Ek glo sterk dat Apple hiervan geweet het, maar nie die publisiteit wou hê nie," het Gerchow gesê en bygevoeg, "[Apple se] Safari is ook nie die veiligste van blaaiers nie."
Laat die Spele begin
Terwyl Krause nie die kode kon ondersoek om die werklike bedoeling daarvan uit te vind nie, het hy gedemonstreer hoe toepassings om die ATT-beperkings kan werk. Yaari dink dit moet Apple laat opstaan, kennis neem en dalk selfs bykomende beperkings implementeer om opsporing deur inprogram-blaaiers te beperk.
"Dit is die begin van die kat-en-muis-speletjie wat die twee maatskappye sal speel, met die uitkoms wat groot gevolge vir die bedryf het," het Yaari gesê.
Tom Garrubba, Direkteur, Derdeparty-risikobestuursdienste by Echelon Risk + Cyber, meen dit lyk asof Apple sy beeld baie verbeter het om privaatheidsake aan te spreek, nie net in persepsie nie, maar in aksie deur die kodering en implementering daarvan.
"Miskien sal dit 'n klasaksie-regsgeding, slegte PR en/of 'n stewige boete vir privaatheidskendings neem vir toepassingontwikkelaars om wakker te word [vir die feit] dat hulle 'privaatheid deur ontwerp' moet bak in alle aspekte van kode-ontwikkeling en dienslewering,” het Garrubba per e-pos aan Lifewire gesê. "Ek voorspel dat gebrek aan optrede deur groot tegnologie dit sal lei tot 'n regsgeding of stewige boete wat wag om te gebeur."
Tussendeur, om jou privaatheid te beskerm, stel Krause voor dat jy die inprogram-blaaier verlaat en bloot die URL kopieer-plak om in 'n ander eksterne blaaier oop te maak.
"Mense moet ten minste nie inprogram-blaaiers gebruik om enige sensitiewe of vertroulike inligting in te voer nie," stel Yaari voor.
Ons kenners erken egter dat dit onwaarskynlik is dat baie mense werklik hul gedrag sal verander, aangesien dit die gebruikerservaring meer ongerieflik kan maak.
"Ongelukkig, aangesien 99.9% van mense ly aan die behoefte aan 'onmiddellike bevrediging', sal hulle hierdie stap oorslaan en dit direk in hul verstekblaaier oopmaak," het Garrubba gesê. "Dit is duidelik wat groot tegnologie wil hê, en hulle sal heel waarskynlik die data kry wat hulle wil hê."
