Kľúčové poznatky
- Bezpečnostný výskumník preukázal, že aplikácie Facebook aj Instagram v systéme iOS vkladajú vlastný kód pri otváraní odkazov v prehliadačoch v aplikácii.
- Kód obchádza ochranu súkromia spoločnosti Apple a môže byť potenciálne použitý na vaše sledovanie aj na webových stránkach tretích strán.
- Iní odborníci na bezpečnosť odporúčajú vyhnúť sa používaniu prehliadačov v aplikáciách a očakávajú, že spoločnosť Apple podnikne kroky na zrušenie tohto alternatívneho riešenia.
Nový výskum ukázal, že väčšina aplikácií nepoužíva na otváranie odkazov predvolený webový prehliadač smartfónu, čo by mohlo potenciálne obchádzať funkcie zabezpečenia a ochrany osobných údajov operačného systému.
Bezpečnostný výskumník Felix Krause ukázal, že aplikácie Instagram a Facebook spoločnosti Meta v systéme iOS pridávajú určitý kód JavaScript na webové stránky tretích strán, keď ich navštívite pomocou vlastného prehliadača v aplikácii. Prehliadače v aplikáciách umožňujú ľuďom navštevovať webové stránky bez toho, aby opustili svoje aplikácie. Vložený kód umožňuje aplikáciám potenciálne sledovať všetky vaše interakcie s externými webovými stránkami a obísť tak funkciu transparentnosti sledovania aplikácií (ATT) systému iOS. Apple pridal ATT špeciálne preto, aby prinútil vývojárov aplikácií získať súhlas ľudí pred sledovaním údajov generovaných tretími stranami.
"Riešenie Instagramu nie je prekvapujúce," povedal Lior Yaari, generálny riaditeľ a spoluzakladateľ startupu Grip Security v oblasti kybernetickej bezpečnosti, prostredníctvom e-mailu Lifewire. „Obmedzenia spoločnosti Apple ohrozujú jadro obchodného modelu spoločnosti, takže išlo o to prispôsobiť sa, aby sme prežili.“
Hit tam, kde to bolí
Meta otvorene priznala, že funkcia ATT ju stála približne 10 miliárd dolárov ročne na príjmoch z reklamy.
Počas svojho výskumu Krause zistil, že keď používateľ iOS aplikácií Facebook a Instagram klikne na odkaz v týchto sociálnych sieťach, otvorí sa v prehliadači v aplikácii.
Aspoň by ľudia nemali používať prehliadače v aplikácii na zadávanie akýchkoľvek citlivých alebo dôverných informácií.
Varoval, že vlastný kód JavaScript, ktorý vkladá prehliadač v aplikácii, umožňuje obom aplikáciám potenciálne sledovať každú jednu interakciu s externými webovými stránkami vrátane všetkého, čo zadáte do textového poľa, ako sú heslá a adresy.
„S 1 miliardou aktívnych používateľov Instagramu je množstvo údajov, ktoré môže Instagram zhromaždiť vložením kódu sledovania na každú webovú stránku tretej strany otvorenú z aplikácie Instagram a Facebook, ohromujúce množstvo,“napísal Krause.
Tento objav neprekvapuje Georgea Gerchowa, hlavného bezpečnostného riaditeľa a hlavného viceprezidenta IT v Sumo Logic.
V rozhovore pre Lifewire cez e-mail Gerchow povedal, že sociálne siete majú jedny z najvýkonnejších algoritmov umelej inteligencie a strojového učenia na svete, ktoré sa v kombinácii s ich večným pokusom prinútiť ľudí, aby zostali na ich platformách, stávajú skutočné nebezpečenstvo.
"Pevne verím, že Apple o tom vedel, ale nechcel publicitu," povedal Gerchow a dodal: "Ani Safari od [Apple] nie je najbezpečnejší z prehliadačov."
Nechajte hry začať
Zatiaľ čo Krause nemohol preskúmať kód, aby zistil jeho skutočný zámer, ukázal, ako môžu aplikácie obísť obmedzenia ATT. Yaari si myslí, že by to malo prinútiť Apple vstať, vziať si to na vedomie a možno dokonca implementovať ďalšie obmedzenia na obmedzenie sledovania prostredníctvom prehliadačov v aplikácii.
„Je to začiatok hry na mačku a myš, ktorú budú tieto dve spoločnosti hrať, pričom výsledok bude mať veľké dôsledky v odvetví,“povedal Yaari.
Tom Garrubba, riaditeľ, Služby riadenia rizík tretích strán v Echelon Risk + Cyber, sa domnieva, že Apple zrejme výrazne zlepšil svoj imidž pri riešení otázok ochrany súkromia nielen vo vnímaní, ale aj v praxi prostredníctvom kódovania a nasadenia.
„Možno to bude vyžadovať hromadnú žalobu, zlé PR a/alebo mastnú pokutu za porušenie ochrany osobných údajov, aby sa vývojári aplikácií prebudili [na skutočnosť], že musia upiecť „privacy by design“do všetkých aspektov vývoja kódu a poskytovania služieb,“povedal Garrubba Lifewire e-mailom. „Predpokladám, že nečinnosť veľkej technológie to povedie k súdnemu sporu alebo vysokej pokute, ktorá bude čakať.“
V záujme ochrany vášho súkromia vám Krause medzitým navrhuje ukončiť prehliadač v aplikácii a jednoducho skopírovať a prilepiť adresu URL, aby sa otvorila v inom externom prehliadači.
"Prinajmenšom by ľudia nemali používať prehliadače v aplikáciách na zadávanie akýchkoľvek citlivých alebo dôverných informácií," navrhuje Yaari.
Naši odborníci však uznávajú, že je nepravdepodobné, že by veľa ľudí skutočne zmenilo svoje správanie, pretože by to mohlo spôsobiť, že používateľské prostredie bude ešte nepohodlnejšie.
„Bohužiaľ, keďže 99,9 % ľudí trpí potrebou ‚okamžitého uspokojenia‘, tento krok preskočia a otvoria ho priamo vo svojom predvolenom prehliadači,“povedal Garrubba. „Toto jednoznačne chcú veľké technológie a s najväčšou pravdepodobnosťou získajú údaje, ktoré chcú.“
