Ključni podaci za van
- Istraživač sigurnosti je pokazao da i Facebook i Instagram aplikacije na iOS-u umeću prilagođeni kod dok otvaraju veze u svojim preglednicima unutar aplikacije.
- Kôd zaobilazi Appleovu zaštitu privatnosti i potencijalno se može koristiti i za vaše praćenje na web stranicama trećih strana.
- Drugi stručnjaci za sigurnost predlažu izbjegavanje upotrebe preglednika unutar aplikacije i očekuju da će Apple poduzeti korake da poništi ovo zaobilazno rješenje.
Novo istraživanje pokazalo je da većina aplikacija ne koristi zadani web-preglednik pametnog telefona za otvaranje veza, što bi potencijalno moglo zaobići sigurnosne i privatne značajke operativnog sustava.
Istraživač sigurnosti, Felix Krause, pokazao je da Metine Instagram i Facebook aplikacije na iOS-u dodaju neki JavaScript kod na web stranice trećih strana kada ih posjetite koristeći prilagođeni preglednik unutar aplikacije. Preglednici unutar aplikacije omogućuju ljudima da posjećuju web stranice bez napuštanja svojih aplikacija. Umetnuti kod omogućuje aplikacijama potencijalno praćenje svih vaših interakcija s vanjskim web-mjestima, zaobilazeći iOS-ovu značajku App Tracking Transparency (ATT). Apple je dodao ATT posebno kako bi programere aplikacija prisilio da dobiju pristanak ljudi prije praćenja podataka koje generiraju treće strane.
"Instagramovo zaobilazno rješenje nije iznenađujuće", rekao je Lior Yaari, izvršni direktor i suosnivač startupa za kibernetičku sigurnost Grip Security, e-poštom za Lifewire. "Appleova ograničenja ugrožavaju srž poslovnog modela tvrtke, pa je bilo pitanje prilagodbe [za] preživljavanje."
Udaranje tamo gdje boli
Meta je otvoreno priznala da ju je značajka ATT koštala oko 10 milijardi dolara godišnje u prihodu od oglasa.
Tijekom svog istraživanja Krause je otkrio da kada iOS korisnik aplikacija Facebook i Instagram klikne poveznicu unutar ovih društvenih mreža, one se otvaraju u pregledniku unutar aplikacije.
Minimalno, ljudi ne bi trebali koristiti preglednike unutar aplikacije za unos osjetljivih ili povjerljivih informacija.
Upozorio je da prilagođeni JavaScript kôd koji preglednik ubacuje u aplikaciju omogućuje objema aplikacijama potencijalno praćenje svake pojedine interakcije s vanjskim web-mjestima, uključujući sve što upisujete u okvir za tekst poput lozinki i adresa.
"S 1 milijardom aktivnih korisnika Instagrama, količina podataka koju Instagram može prikupiti ubacivanjem koda za praćenje na svaku web stranicu treće strane otvorenu iz aplikacije Instagram & Facebook je nevjerojatna količina," napisao je Krause.
Otkriće ne iznenađuje Georgea Gerchowa, glavnog direktora za sigurnost i višeg potpredsjednika IT-a u Sumo Logicu.
Razgovarajući s Lifewireom putem e-pošte, Gerchow je rekao da mreže društvenih medija imaju neke od najmoćnijih algoritama umjetne inteligencije i strojnog učenja na svijetu, koji, u kombinaciji s njihovim vječnim pokušajima da natjeraju ljude da ostanu na njihovim platformama, postaje stvarna opasnost.
"Čvrsto vjerujem da je Apple znao za ovo, ali nije želio publicitet," rekao je Gerchow, dodajući, "Ni [Appleov] Safari nije najsigurniji preglednik."
Neka igre počnu
Iako Krause nije mogao ispitati kod kako bi otkrio njegovu pravu namjeru, pokazao je kako aplikacije mogu zaobići ATT ograničenja. Yaari smatra da bi ovo trebalo natjerati Apple da ustane, obrati pažnju i možda čak implementira dodatna ograničenja za ograničavanje praćenja putem preglednika unutar aplikacije.
"Ovo je početak igre mačke i miša koju će dvije tvrtke igrati, a ishod će imati velike posljedice za industriju", rekao je Yaari.
Tom Garrubba, direktor, usluge upravljanja rizicima trećih strana u tvrtki Echelon Risk + Cyber, vjeruje da se čini da je Apple znatno poboljšao svoj imidž u rješavanju pitanja privatnosti, ne samo u percepciji, već iu djelovanju putem svog kodiranja i implementacije.
"Možda će biti potrebna zajednička tužba, loš PR i/ili pozamašna novčana kazna za kršenje privatnosti kako bi se programeri aplikacija probudili [činjenicom] da moraju ispeći 'privatnost po dizajnu' u sve aspekte razvoja koda i pružanja usluga", rekao je Garrubba za Lifewire putem e-pošte. "Predviđam da će neaktivnost velike tehnologije dovesti do tužbe ili velike kazne koja se čeka."
U međuvremenu, radi zaštite vaše privatnosti, Krause predlaže da izađete iz preglednika unutar aplikacije i jednostavno kopirate i zalijepite URL za otvaranje u drugom vanjskom pregledniku.
"Minimalno, ljudi ne bi trebali koristiti preglednike unutar aplikacije za unos bilo kakvih osjetljivih ili povjerljivih informacija," predlaže Yaari.
Međutim, naši stručnjaci priznaju da je malo vjerojatno da će mnogo ljudi zaista promijeniti svoje ponašanje jer bi to korisničko iskustvo moglo učiniti neugodnijim.
"Nažalost, budući da 99,9% ljudi pati od potrebe za 'trenutačnim zadovoljstvom', preskočit će ovaj korak i otvoriti ga izravno u svom zadanom pregledniku," rekao je Garrubba. "Očito je to ono što velika tehnologija želi i najvjerojatnije će dobiti podatke koje žele."