Recomandări cheie
- Un cercetător în domeniul securității a demonstrat că atât aplicațiile Facebook, cât și Instagram pe iOS introduc un cod personalizat în timp ce deschid linkuri în browserele lor în aplicație.
- Codul eludează protecția confidențialității Apple și poate fi folosit și pentru a vă urmări pe site-uri web ale unor terțe părți.
- Alți experți în securitate sugerează evitarea utilizării browserelor în aplicație și se așteaptă ca Apple să ia măsuri pentru a anula această soluție.
Noile cercetări au arătat că majoritatea aplicațiilor nu folosesc browserul web implicit al smartphone-ului pentru a deschide linkuri, ceea ce ar putea eluda funcțiile de securitate și confidențialitate ale sistemului de operare.
Un cercetător în domeniul securității, Felix Krause, a arătat că aplicațiile Meta Instagram și Facebook pe iOS adaugă cod JavaScript pe site-urile web ale terților atunci când le vizitați folosind browserul personalizat în aplicație. Browserele din aplicație permit utilizatorilor să viziteze site-uri web fără a părăsi aplicațiile. Codul inserat permite aplicațiilor să urmărească potențial toate interacțiunile dvs. cu site-uri web externe, ocolind funcția iOS de transparență a urmăririi aplicațiilor (ATT). Apple a adăugat ATT special pentru a forța dezvoltatorii de aplicații să obțină consimțământul oamenilor înainte de a urmări datele generate de terți.
„Soluția de soluție Instagram nu este surprinzătoare”, a declarat Lior Yaari, CEO și co-fondator al startup-ului de securitate cibernetică Grip Security, a declarat pentru Lifewire prin e-mail. „Restricțiile Apple amenință nucleul modelului de afaceri al companiei, așa că a fost o chestiune de adaptare [pentru] supraviețuire.”
Lovirea unde doare
Meta a recunoscut deschis că funcția ATT o costa aproximativ 10 miliarde USD pe an în venituri din reclame.
În timpul cercetării sale, Krause a descoperit că atunci când un utilizator iOS al aplicațiilor Facebook și Instagram face clic pe un link din aceste rețele sociale, acestea sunt deschise în browserul din aplicație.
Cel puțin, oamenii nu ar trebui să folosească browsere în aplicație pentru a introduce informații sensibile sau confidențiale.
El a avertizat că codul JavaScript personalizat pe care browserul în aplicație îl injectează permite ambelor aplicații să urmărească fiecare interacțiune cu site-urile externe, inclusiv tot ceea ce introduceți într-o casetă text, cum ar fi parolele și adresele.
„Cu 1 miliard de utilizatori activi de Instagram, cantitatea de date pe care Instagram le poate colecta prin injectarea codului de urmărire în fiecare site terță parte deschis din aplicația Instagram și Facebook este o sumă uluitoare”, a scris Krause..
Descoperirea nu-l surprinde pe George Gerchow, Chief Security Officer și Senior Vice President IT la Sumo Logic.
Vorbind cu Lifewire prin e-mail, Gerchow a spus că rețelele de socializare au unii dintre cei mai puternici algoritmi de inteligență artificială și de învățare automată din lume, care, atunci când sunt combinate cu încercarea lor veșnică de a-i determina pe oameni să rămână pe platformele lor, devine un adevărat pericol.
„Cred cu tărie că Apple a știut despre asta, dar nu a vrut publicitate”, a spus Gerchow, adăugând: „Nici Safari [de la Apple] nu este cel mai sigur dintre browsere.”
Să înceapă jocurile
Deși Krause nu a putut examina codul pentru a-și da seama intenția reală, el a demonstrat cum ar putea aplicațiile să rezolve restricțiile ATT. Yaari crede că acest lucru ar trebui să-l facă pe Apple să se ridice, să observe și poate chiar să implementeze restricții suplimentare pentru a limita urmărirea prin browserele din aplicație.
„Este începutul jocului pisica și șoarecele pe care îl vor juca cele două companii, rezultatul având ramificații majore în industrie”, a spus Yaari.
Tom Garrubba, director, Servicii de gestionare a riscurilor terță parte la Echelon Risk + Cyber, consideră că Apple pare să-și fi îmbunătățit considerabil imaginea în abordarea problemelor de confidențialitate nu doar în percepție, ci și în acțiune prin codificare și implementare.
"Poate că va fi nevoie de un proces colectiv, PR proastă și/sau o amendă uriașă pentru încălcarea confidențialității, pentru ca dezvoltatorii de aplicații să se trezească [la faptul] că trebuie să înțeleagă „privacy by design” în toate aspectele dezvoltării codului și furnizării de servicii”, a declarat Garrubba pentru Lifewire prin e-mail. „Previzez că lipsa de acțiune a tehnologiei mari va duce la un proces sau la o penalizare uriașă care așteaptă să se întâmple.”
Între timp, pentru a vă proteja confidențialitatea, Krause sugerează să părăsiți browserul în aplicație și pur și simplu să copiați și să lipiți adresa URL pentru a o deschide într-un alt browser extern.
„Cel puțin, oamenii nu ar trebui să folosească browsere în aplicație pentru a introduce informații sensibile sau confidențiale”, sugerează Yaari.
Cu toate acestea, experții noștri recunosc că este puțin probabil ca mulți oameni să își schimbe comportamentul, deoarece acest lucru ar putea face experiența utilizatorului mai incomod.
„Din păcate, deoarece 99,9% dintre oameni suferă de nevoia de „gratificare instantanee”, ei vor sări peste acest pas și îl vor deschide chiar în browserul lor implicit”, a spus Garrubba. „Acesta este în mod clar ceea ce își dorește marele tehnologie și cel mai probabil vor obține datele pe care le doresc.”
