Key Takeaways
- Istraživač sigurnosti je pokazao da i Facebook i Instagram aplikacije na iOS-u ubacuju prilagođeni kod dok otvaraju veze u svojim preglednicima unutar aplikacija.
- Kôd zaobilazi Appleovu zaštitu privatnosti i potencijalno se može koristiti za praćenje i na web stranicama trećih strana.
- Drugi stručnjaci za sigurnost predlažu izbjegavanje korištenja preglednika u aplikacijama i očekuju da će Apple poduzeti korake da poništi ovo rješenje.
Novo istraživanje je pokazalo da većina aplikacija ne koristi zadani web pretraživač pametnog telefona za otvaranje linkova, što bi potencijalno moglo zaobići sigurnosne i funkcije privatnosti operativnog sistema.
Istraživač sigurnosti, Felix Krause, pokazao je da Metine Instagram i Facebook aplikacije na iOS-u dodaju neki JavaScript kod na web stranice trećih strana kada ih posjetite koristeći prilagođeni preglednik u aplikaciji. Preglednici unutar aplikacija omogućavaju ljudima da posjećuju web stranice bez napuštanja njihovih aplikacija. Umetnuti kod omogućava aplikacijama da potencijalno prate sve vaše interakcije s vanjskim web stranicama, zaobilazeći iOS-ovu funkciju transparentnosti praćenja aplikacija (ATT). Apple je dodao ATT posebno kako bi prisilio programere aplikacija da dobiju pristanak ljudi prije praćenja podataka koje generiraju treće strane.
"Instagramovo zaobilazno rješenje nije iznenađujuće", rekao je za Lifewire putem e-pošte Lior Yaari, izvršni direktor i suosnivač startupa za sajber sigurnost Grip Security. "Appleova ograničenja ugrožavaju srž poslovnog modela kompanije, tako da je bilo pitanje prilagođavanja [za] opstanak."
Udari tamo gdje boli
Meta je otvoreno priznala da ga je ATT funkcija koštala oko 10 milijardi dolara godišnje prihoda od reklama.
Tokom svog istraživanja, Krause je otkrio da kada iOS korisnik aplikacija Facebook i Instagram klikne na link unutar ovih društvenih mreža, oni se otvaraju u pretraživaču unutar aplikacije.
U najmanju ruku, ljudi ne bi trebali koristiti preglednike u aplikaciji za unos bilo kakvih osjetljivih ili povjerljivih informacija.
Upozorio je da prilagođeni JavaScript kod koji preglednik u aplikaciji ubacuje omogućava objema aplikacijama da potencijalno prate svaku interakciju s vanjskim web stranicama, uključujući sve što unesete u okvir za tekst kao što su lozinke i adrese.
"Sa milijardu aktivnih korisnika Instagrama, količina podataka koju Instagram može prikupiti ubrizgavanjem koda za praćenje u svaku web stranicu treće strane otvorenu putem Instagram i Facebook aplikacije je zapanjujuća količina", napisao je Krause..
Otkriće ne iznenađuje Georgea Gerchowa, glavnog službenika za sigurnost i višeg potpredsjednika IT-a u Sumo Logic-u.
U razgovoru za Lifewire putem e-pošte, Gerchow je rekao da mreže društvenih medija imaju neke od najmoćnijih algoritama za umjetnu inteligenciju i strojno učenje na svijetu, koji, u kombinaciji s njihovim vječnim pokušajem da navedu ljude da ostanu na svojim platformama, postaju prava opasnost.
"Čvrsto vjerujem da je Apple znao za ovo, ali nije želio publicitet," rekao je Gerchow, dodajući, "[Appleov] Safari također nije najsigurniji pretraživač."
Neka igre počnu
Dok Krause nije mogao ispitati kod kako bi shvatio njegovu pravu namjeru, pokazao je kako aplikacije mogu zaobići ATT ograničenja. Yaari misli da bi ovo trebalo natjerati Apple da ustane, obrati pažnju i možda čak implementira dodatna ograničenja za ograničavanje praćenja putem preglednika u aplikaciji.
"To je početak igre mačke i miša koju će dvije kompanije igrati, a rezultat će imati velike posljedice u industriji," rekao je Yaari.
Tom Garrubba, direktor usluga upravljanja rizicima trećih strana u Echelon Risk + Cyber, vjeruje da je Apple uvelike poboljšao svoj imidž u rješavanju pitanja privatnosti, ne samo u percepciji već iu akciji putem kodiranja i implementacije.
"Možda će biti potrebna grupna tužba, loš PR i/ili velika novčana kazna za kršenje privatnosti za programere aplikacija da se probude [na činjenicu] da moraju ispeći 'privatnost po dizajnu' u sve aspekte razvoja koda i pružanja usluga", rekao je Garrubba za Lifewire putem e-pošte. "Predviđam da će nerad velike tehnologije ovo dovesti do tužbe ili teške kazne koja čeka da se dogodi."
U međuvremenu, kako bi zaštitio vašu privatnost, Krause predlaže da izađete iz preglednika u aplikaciji i jednostavno kopirate i zalijepite URL da se otvori u drugom vanjskom pregledniku.
"U najmanju ruku, ljudi ne bi trebali koristiti preglednike u aplikaciji za unos bilo kakvih osjetljivih ili povjerljivih informacija", predlaže Yaari.
Međutim, naši stručnjaci priznaju da je malo vjerovatno da će mnogi ljudi zaista promijeniti svoje ponašanje jer bi to moglo učiniti korisničko iskustvo još nezgodnijim.
"Nažalost, pošto 99,9% ljudi pati od potrebe za 'trenutnim zadovoljstvom', preskočiće ovaj korak i otvoriti ga direktno u svom podrazumevanom pretraživaču," rekao je Garrubba. "Ovo je jasno ono što velika tehnologija želi, i najvjerovatnije će dobiti podatke koje žele."
