Atslēgas līdzņemšanai
- Drošības pētnieks ir pierādījis, ka gan Facebook, gan Instagram lietotnes operētājsistēmā iOS ievieto pielāgotu kodu, atverot saites savās lietotņu pārlūkprogrammās.
- Kods apiet Apple privātuma aizsardzību, un to, iespējams, var izmantot, lai jūs izsekotu arī trešo pušu vietnēs.
- Citi drošības eksperti iesaka izvairīties no lietotnēs iebūvētu pārlūkprogrammu izmantošanas un sagaida, ka Apple veiks pasākumus, lai atceltu šo risinājumu.
Jauni pētījumi liecina, ka lielākā daļa lietotņu saišu atvēršanai neizmanto viedtālruņa noklusējuma tīmekļa pārlūkprogrammu, kas, iespējams, varētu apiet operētājsistēmas drošības un konfidencialitātes funkcijas.
Drošības pētnieks Fēlikss Krauze ir parādījis, ka Meta Instagram un Facebook lietotnes operētājsistēmā iOS pievieno JavaScript kodu trešo pušu vietnēm, kad tās apmeklējat, izmantojot lietotnes pielāgoto pārlūkprogrammu. Lietojumprogrammu pārlūkprogrammas ļauj cilvēkiem apmeklēt vietnes, neizejot no lietotnēm. Ievietotais kods ļauj lietotnēm potenciāli izsekot visu jūsu mijiedarbību ar ārējām vietnēm, apejot iOS lietotņu izsekošanas pārredzamības (ATT) funkciju. Apple pievienoja ATT, lai piespiestu lietotņu izstrādātājus saņemt cilvēku piekrišanu pirms trešo pušu ģenerēto datu izsekošanas.
"Instagram risinājums nav pārsteidzošs," e-pastā Lifewire pastāstīja Liors Jaāri, kiberdrošības startup Grip Security izpilddirektors un līdzdibinātājs. "Apple ierobežojumi apdraud uzņēmuma biznesa modeļa būtību, tāpēc bija jāpielāgojas, lai izdzīvotu."
Tikt tur, kur sāp
Meta ir atklāti atzinusi, ka ATT funkcija tai izmaksāja aptuveni 10 miljardus USD ieņēmumus no reklāmām gadā.
Pētīšanas laikā Krauze atklāja, ka tad, kad Facebook un Instagram lietotņu iOS lietotājs noklikšķina uz saites šajos sociālajos tīklos, tās tiek atvērtas lietotnes pārlūkprogrammā.
Vismaz cilvēkiem nevajadzētu izmantot lietotņu pārlūkprogrammas, lai ievadītu sensitīvu vai konfidenciālu informāciju.
Viņš brīdināja, ka pielāgotais JavaScript kods, ko ievada lietotnes pārlūkprogramma, ļauj abām lietotnēm izsekot katru mijiedarbību ar ārējām vietnēm, tostarp visu, ko ievadāt tekstlodziņā, piemēram, paroles un adreses.
"Ar 1 miljardu aktīvu Instagram lietotāju datu apjoms, ko Instagram var apkopot, ievadot izsekošanas kodu katrā trešās puses vietnē, kas atvērta no Instagram un Facebook lietotnes, ir satriecošs apjoms," rakstīja Krause.
Atklājums nepārsteidz Džordžu Gēršovu, Sumo Logic drošības direktoru un IT vecākais viceprezidents.
Runājot ar Lifewire pa e-pastu, Gerčovs sacīja, ka sociālo mediju tīkliem ir daži no pasaulē jaudīgākajiem mākslīgā intelekta un mašīnmācīšanās algoritmiem, kas, apvienojumā ar to mūžīgo mēģinājumu panākt, lai cilvēki paliktu savās platformās, kļūst reālas briesmas.
"Es stingri uzskatu, ka Apple par to zināja, bet nevēlējās publicitāti," sacīja Gerčovs, piebilstot: "Arī [Apple] Safari nav drošākā pārlūkprogramma."
Lai sāksies spēles
Lai gan Krauze nevarēja pārbaudīt kodu, lai noskaidrotu tā patieso nolūku, viņš demonstrēja, kā lietotnes var apiet ATT ierobežojumus. Yaari uzskata, ka tam vajadzētu likt Apple piecelties, pievērst uzmanību un, iespējams, pat ieviest papildu ierobežojumus, lai ierobežotu izsekošanu, izmantojot lietotņu pārlūkprogrammas.
"Tas ir kaķa un peles spēles sākums, ko spēlēs abas kompānijas, un iznākumam būs lielas sekas nozarē," sacīja Yaari.
Toms Garruba, Echelon Risk + Cyber trešo pušu riska pārvaldības pakalpojumu direktors, uzskata, ka Apple, šķiet, ir ievērojami uzlabojis savu tēlu attiecībā uz privātuma jautājumiem ne tikai uztverē, bet arī darbībā, izmantojot kodēšanu un izvietošanu.
"Iespējams, būs nepieciešama tiesas prāva, slikta PR un/vai liels naudas sods par konfidencialitātes pārkāpumiem, lai lietojumprogrammu izstrādātāji pamostos [uz faktu], ka viņiem ir jāveido "privātums ar izstrādātu". visos koda izstrādes un pakalpojumu sniegšanas aspektos," e-pastā Lifewire pastāstīja Garrubba. "Es paredzu, ka lielo tehnoloģiju bezdarbība novedīs pie tiesas prāvas vai liela soda, kas gaida."
Tikmēr, lai aizsargātu jūsu privātumu, Krause iesaka iziet no lietotnes pārlūkprogrammas un vienkārši kopēt un ielīmēt URL, lai atvērtu citā ārējā pārlūkprogrammā.
"Vismaz cilvēkiem nevajadzētu izmantot lietotņu pārlūkprogrammas, lai ievadītu sensitīvu vai konfidenciālu informāciju," iesaka Yaari.
Tomēr mūsu eksperti atzīst, ka maz ticams, ka daudzi cilvēki patiešām mainīs savu uzvedību, jo tas var padarīt lietotāja pieredzi neērtāku.
"Diemžēl, tā kā 99,9% cilvēku cieš no nepieciešamības pēc tūlītējas apmierināšanas, viņi izlaidīs šo darbību un atvērs to tieši savā noklusējuma pārlūkprogrammā," sacīja Garruba. "Tas nepārprotami ir tas, ko vēlas lielās tehnoloģijas, un viņi, visticamāk, iegūs vajadzīgos datus."