Pagrindiniai pasiėmimai
- Saugumo tyrinėtojas įrodė, kad „Facebook“ir „Instagram“programos „iOS“įterpia priskirtą kodą atidarydamos nuorodas savo programos naršyklėse.
- Kodas apeina „Apple“privatumo apsaugą ir gali būti naudojamas jus sekti trečiųjų šalių svetainėse.
- Kiti saugos ekspertai siūlo vengti naudoti naršykles programoje ir tikėtis, kad „Apple“imsis veiksmų, kad panaikintų šį sprendimą.
Naujas tyrimas parodė, kad dauguma programų nuorodoms atidaryti nenaudoja numatytosios išmaniojo telefono žiniatinklio naršyklės, o tai gali apeiti operacinės sistemos saugos ir privatumo funkcijas.
Saugumo tyrinėtojas Felixas Krause'as parodė, kad „Meta“„Instagram“ir „Facebook“programos „iOS“įtraukia tam tikrą „JavaScript“kodą į trečiųjų šalių svetaines, kai lankotės jose naudodami tinkintą programos naršyklę. Naršyklės programoje leidžia žmonėms apsilankyti svetainėse neišeinant iš programų. Įterptas kodas leidžia programoms stebėti visas jūsų sąveikas su išorinėmis svetainėmis, apeinant „iOS“programų stebėjimo skaidrumo (ATT) funkciją. „Apple“pridėjo ATT, kad priverstų programų kūrėjus gauti žmonių sutikimą prieš stebint trečiųjų šalių sugeneruotus duomenis.
„Instagram“sprendimas nestebina“, – el. paštu Lifewire sakė Lioras Yaari, kibernetinio saugumo startuolio „Grip Security“generalinis direktorius ir vienas iš įkūrėjų. „Apple“apribojimai kelia grėsmę įmonės verslo modeliui, todėl reikėjo prisitaikyti, kad išliktų.“
Pataikymas ten, kur skauda
Meta atvirai pripažino, kad ATT funkcija jai kasmet kainavo apie 10 mlrd. USD pajamų iš reklamos.
Atlikdamas tyrimą Krause išsiaiškino, kad kai „Facebook“ir „Instagram“programų „iOS“naudotojas spusteli nuorodą šiuose socialiniuose tinkluose, jos atidaromos programos naršyklėje.
Žmonės neturėtų naudoti naršyklių programoje, norėdami įvesti neskelbtiną ar konfidencialią informaciją.
Jis perspėjo, kad tinkintas JavaScript kodas, kurį programoje įveda naršyklė, leidžia abiem programoms stebėti kiekvieną sąveiką su išorinėmis svetainėmis, įskaitant viską, ką įvedate į teksto laukelį, pvz., slaptažodžius ir adresus.
„Turint 1 milijardą aktyvių „Instagram“vartotojų, duomenų kiekis, kurį „Instagram“gali surinkti įvesdama stebėjimo kodą į kiekvieną trečiosios šalies svetainę, atidarytą iš „Instagram“ir „Facebook“programėlės, yra stulbinantis kiekis“, – rašė Krause.
Atradimas nestebina George'o Gerchow, vyriausiojo saugumo pareigūno ir „Sumo Logic“IT skyriaus vyresniojo viceprezidento.
Kalbėdamas su Lifewire el. paštu Gerchow sakė, kad socialinės žiniasklaidos tinklai turi vienus iš galingiausių dirbtinio intelekto ir mašininio mokymosi algoritmų pasaulyje, kurie kartu su jų nuolatiniu bandymu priversti žmones likti jų platformose tampa realus pavojus.
"Tikrai tikiu, kad Apple apie tai žinojo, bet nenorėjo viešumo", - sakė Gerchow ir pridūrė: "[Apple] Safari taip pat nėra pati saugiausia naršyklė."
Tegul žaidimai prasideda
Nors Krause negalėjo išnagrinėti kodo, kad išsiaiškintų tikrąjį jo tikslą, jis parodė, kaip programos gali apeiti ATT apribojimus. Yaari mano, kad tai turėtų priversti „Apple“atsistoti, atkreipti dėmesį ir galbūt net įdiegti papildomus apribojimus, kad apribotų stebėjimą programose esančiose naršyklėse.
„Tai katės ir pelės žaidimo, kurį žais dvi bendrovės, pradžia, o rezultatas turės didelių padarinių pramonei“, – sakė Yaari.
Tomas Garrubba, „Echelon Risk + Cyber“trečiųjų šalių rizikos valdymo paslaugų direktorius, mano, kad „Apple“labai pagerino savo įvaizdį sprendžiant privatumo klausimus ne tik suvokdamas, bet ir veikdamas, koduodamas ir diegdamas.
"Galbūt prireiks kolektyvinio ieškinio, blogo viešųjų ryšių ir (arba) didelės baudos už privatumo pažeidimus, kad programų kūrėjai suprastų, kad jiems reikia sukurti "privatumo principą". į visus kodo kūrimo ir paslaugų teikimo aspektus“, – el. paštu Lifewire pasakojo Garrubba. „Prognozuoju, kad dėl didelių technologijų neveikimo bus iškelta byla arba laukiama didelė bauda.“
Kol kas, siekdamas apsaugoti jūsų privatumą, Krause siūlo išeiti iš programos naršyklės ir tiesiog nukopijuoti URL, kad būtų atidaryta kitoje išorinėje naršyklėje.
„Žmonės neturėtų naudoti naršyklių programoje, norėdami įvesti bet kokią neskelbtiną ar konfidencialią informaciją“, – siūlo Yaari.
Tačiau mūsų ekspertai pripažįsta, kad mažai tikėtina, kad daugelis žmonių iš tikrųjų pakeis savo elgesį, nes dėl to naudotojo patirtis gali būti nepatogi.
„Deja, kadangi 99,9 % žmonių kenčia nuo „momentinio pasitenkinimo“poreikio, jie praleis šį veiksmą ir atidarys jį savo numatytojoje naršyklėje“, – sakė Garrubba. "Akivaizdu, kad tai yra tai, ko nori didžiosios technologijos, ir greičiausiai jie gaus norimus duomenis."