Vaše aplikace na Facebooku vás může stále sledovat, i když vám bylo řečeno, že ne

Obsah:

Vaše aplikace na Facebooku vás může stále sledovat, i když vám bylo řečeno, že ne
Vaše aplikace na Facebooku vás může stále sledovat, i když vám bylo řečeno, že ne
Anonim

Klíčové poznatky

  • Bezpečnostní výzkumník prokázal, že aplikace Facebook i Instagram na iOS vkládají vlastní kód při otevírání odkazů v prohlížečích v aplikaci.
  • Kód obchází ochranu soukromí společnosti Apple a může být potenciálně použit také ke sledování na webech třetích stran.
  • Jiní bezpečnostní experti doporučují vyhnout se používání prohlížečů v aplikacích a očekávají, že Apple podnikne kroky ke zrušení tohoto zástupného řešení.
Image
Image

Nový výzkum ukázal, že většina aplikací nepoužívá výchozí webový prohlížeč chytrého telefonu k otevírání odkazů, což by mohlo potenciálně obcházet funkce zabezpečení a ochrany soukromí operačního systému.

Bezpečnostní výzkumník Felix Krause ukázal, že aplikace Instagram a Facebook společnosti Meta v systému iOS přidávají na webové stránky třetích stran určitý kód JavaScript, když je navštívíte pomocí vlastního prohlížeče v aplikaci. Prohlížeče v aplikacích umožňují lidem navštěvovat webové stránky, aniž by opustili své aplikace. Vložený kód umožňuje aplikacím potenciálně sledovat všechny vaše interakce s externími webovými stránkami, čímž obchází funkci App Tracking Transparency (ATT) systému iOS. Apple přidal ATT speciálně proto, aby přinutil vývojáře aplikací získat souhlas lidí před sledováním dat generovaných třetími stranami.

„Řešení Instagramu není překvapivé,“řekl Lifewire e-mailem Lior Yaari, CEO a spoluzakladatel startupu Grip Security v oblasti kybernetické bezpečnosti. "Omezení společnosti Apple ohrožují jádro obchodního modelu společnosti, takže bylo třeba se přizpůsobit, aby přežil."

Hit tam, kde to bolí

Meta otevřeně přiznala, že funkce ATT ji stála přibližně 10 miliard dolarů ročně na příjmech z reklam.

Během svého výzkumu Krause zjistil, že když uživatel iOS aplikací Facebook a Instagram klikne na odkaz v těchto sociálních sítích, otevře se v prohlížeči v aplikaci.

Lidé by minimálně neměli používat prohlížeče v aplikacích k zadávání jakýchkoli citlivých nebo důvěrných informací.

Varoval, že vlastní kód JavaScript, který vkládá prohlížeč v aplikaci, umožňuje oběma aplikacím potenciálně sledovat každou jednotlivou interakci s externími weby, včetně všeho, co zadáte do textového pole, jako jsou hesla a adresy.

"S 1 miliardou aktivních uživatelů Instagramu je množství dat, které může Instagram shromáždit vložením měřicího kódu do každé webové stránky třetí strany otevřené z aplikace Instagram a Facebook, ohromující množství," napsal Krause.

Tento objev nepřekvapuje George Gerchowa, hlavního bezpečnostního ředitele a hlavního viceprezidenta IT společnosti Sumo Logic.

V rozhovoru s Lifewire přes e-mail Gerchow řekl, že sociální sítě mají jedny z nejvýkonnějších algoritmů umělé inteligence a strojového učení na světě, které se v kombinaci s jejich věčným pokusem přimět lidi, aby zůstali na jejich platformách, stávají skutečné nebezpečí.

"Pevně věřím, že Apple o tom věděl, ale nechtěl publicitu," řekl Gerchow a dodal: "Ani Safari od [Apple] není nejbezpečnější z prohlížečů."

Image
Image

Nechte hry začít

Zatímco Krause nemohl prozkoumat kód, aby zjistil jeho skutečný záměr, ukázal, jak mohou aplikace obejít omezení ATT. Yaari si myslí, že by to mělo Apple přimět, aby se postavil, vzal si na vědomí a možná dokonce zavedl další omezení k omezení sledování prostřednictvím prohlížečů v aplikacích.

„Je to začátek hry na kočku a myš, kterou budou tyto dvě společnosti hrát, přičemž výsledek bude mít velké důsledky v oboru,“řekl Yaari.

Tom Garrubba, ředitel, Third-Party Risk Management Services ve společnosti Echelon Risk + Cyber, se domnívá, že Apple zjevně výrazně zlepšil svou image při řešení záležitostí týkajících se ochrany soukromí nejen ve vnímání, ale i v praxi prostřednictvím svého kódování a nasazení.

„Možná to bude vyžadovat hromadnou žalobu, špatné PR a/nebo tučnou pokutu za porušení soukromí, aby se vývojáři aplikací probudili [s faktem], že potřebují upéct ‚privacy by design‘do všech aspektů vývoje kódu a poskytování služeb,“řekl Garrubba Lifewire e-mailem. "Předpokládám, že nečinnost velké technologie povede k soudnímu sporu nebo vysoké pokutě, která bude čekat."

Pro ochranu vašeho soukromí Krause mezitím navrhuje ukončit prohlížeč v aplikaci a jednoduše zkopírovat a vložit adresu URL pro otevření v jiném externím prohlížeči.

"Lidé by přinejmenším neměli používat prohlížeče v aplikacích k zadávání jakýchkoli citlivých nebo důvěrných informací," navrhuje Yaari.

Naši odborníci však uznávají, že je nepravděpodobné, že by mnoho lidí skutečně změnilo své chování, protože by to mohlo způsobit, že uživatelská zkušenost bude ještě nepohodlnější.

„Bohužel, protože 99,9 % lidí trpí potřebou ‚okamžitého uspokojení‘, tento krok přeskočí a otevřou jej přímo ve svém výchozím prohlížeči,“řekl Garrubba. "Toto je jasně to, co chtějí velké technologie, a s největší pravděpodobností získají data, která chtějí."

Doporučuje: