Βασικά Takeaways
- Ένας ερευνητής ασφάλειας απέδειξε ότι και οι εφαρμογές Facebook και Instagram στο iOS εισάγουν έναν προσαρμοσμένο κωδικό ενώ ανοίγουν συνδέσμους στα προγράμματα περιήγησής τους εντός εφαρμογής.
- Ο κωδικός παρακάμπτει τις προστασίες απορρήτου της Apple και μπορεί ενδεχομένως να χρησιμοποιηθεί για την παρακολούθηση σας και σε ιστότοπους τρίτων.
- Άλλοι ειδικοί σε θέματα ασφάλειας προτείνουν την αποφυγή της χρήσης προγραμμάτων περιήγησης εντός εφαρμογής και αναμένουν από την Apple να λάβει μέτρα για να ακυρώσει αυτήν την λύση.
Νέα έρευνα έδειξε ότι οι περισσότερες εφαρμογές δεν χρησιμοποιούν το προεπιλεγμένο πρόγραμμα περιήγησης ιστού του smartphone για να ανοίγουν συνδέσμους, κάτι που θα μπορούσε ενδεχομένως να παρακάμψει τις λειτουργίες ασφάλειας και απορρήτου του λειτουργικού συστήματος.
Ένας ερευνητής ασφάλειας, ο Felix Krause, έδειξε ότι οι εφαρμογές Instagram και Facebook της Meta στο iOS προσθέτουν κάποιο κώδικα JavaScript σε ιστότοπους τρίτων όταν τους επισκέπτεστε χρησιμοποιώντας το προσαρμοσμένο πρόγραμμα περιήγησης εντός εφαρμογής της εφαρμογής. Τα προγράμματα περιήγησης εντός εφαρμογής επιτρέπουν στους χρήστες να επισκέπτονται ιστότοπους χωρίς να εγκαταλείπουν τις εφαρμογές τους. Ο εισαγόμενος κώδικας επιτρέπει στις εφαρμογές να παρακολουθούν δυνητικά όλες τις αλληλεπιδράσεις σας με εξωτερικούς ιστότοπους, παρακάμπτοντας τη λειτουργία Διαφάνειας Παρακολούθησης Εφαρμογών (ATT) του iOS. Η Apple πρόσθεσε ATT ειδικά για να υποχρεώσει τους προγραμματιστές εφαρμογών να λάβουν τη συναίνεση των ανθρώπων πριν παρακολουθήσουν δεδομένα που δημιουργούνται από τρίτους.
"Η λύση του Instagram δεν προκαλεί έκπληξη", δήλωσε στο Lifewire μέσω email ο Lior Yaari, Διευθύνων Σύμβουλος και συνιδρυτής της startup για την ασφάλεια στον κυβερνοχώρο Grip Security. "Οι περιορισμοί της Apple απειλούν τον πυρήνα του επιχειρηματικού μοντέλου της εταιρείας, επομένως ήταν θέμα προσαρμογής [για] επιβίωση."
Χτυπώντας εκεί που πονάει
Η Meta παραδέχτηκε ανοιχτά ότι η λειτουργία ATT της κόστιζε περίπου 10 δισεκατομμύρια δολάρια ετησίως σε έσοδα από διαφημίσεις.
Κατά τη διάρκεια της έρευνάς του, ο Krause ανακάλυψε ότι όταν ένας χρήστης iOS των εφαρμογών Facebook και Instagram κάνει κλικ σε έναν σύνδεσμο μέσα σε αυτά τα κοινωνικά δίκτυα, ανοίγονται στο πρόγραμμα περιήγησης εντός εφαρμογής.
Τουλάχιστον, οι χρήστες δεν θα πρέπει να χρησιμοποιούν προγράμματα περιήγησης εντός εφαρμογής για να εισάγουν ευαίσθητες ή εμπιστευτικές πληροφορίες.
Προειδοποίησε ότι ο προσαρμοσμένος κώδικας JavaScript που εισάγει το πρόγραμμα περιήγησης εντός εφαρμογής επιτρέπει στις δύο εφαρμογές να παρακολουθούν δυνητικά κάθε μεμονωμένη αλληλεπίδραση με εξωτερικούς ιστότοπους, συμπεριλαμβανομένων όλων όσων πληκτρολογείτε σε ένα πλαίσιο κειμένου, όπως κωδικούς πρόσβασης και διευθύνσεις.
"Με 1 δισεκατομμύριο ενεργούς χρήστες Instagram, ο όγκος των δεδομένων που μπορεί να συλλέξει το Instagram εισάγοντας τον κώδικα παρακολούθησης σε κάθε ιστότοπο τρίτου που ανοίγει από την εφαρμογή Instagram & Facebook είναι εκπληκτικό", έγραψε ο Krause.
Η ανακάλυψη δεν εκπλήσσει τον George Gerchow, Chief Security Officer και Senior Vice President of IT στη Sumo Logic.
Μιλώντας στο Lifewire μέσω email, ο Gerchow είπε ότι τα δίκτυα κοινωνικής δικτύωσης διαθέτουν μερικούς από τους πιο ισχυρούς αλγόριθμους τεχνητής νοημοσύνης και μηχανικής μάθησης στον κόσμο, οι οποίοι, όταν συνδυάζονται με την αέναη προσπάθειά τους να κάνουν τους ανθρώπους να παραμείνουν στις πλατφόρμες τους, γίνεται πραγματικός κίνδυνος.
"Πιστεύω ακράδαντα ότι η Apple γνώριζε για αυτό, αλλά δεν ήθελε τη δημοσιότητα", είπε ο Gerchow, προσθέτοντας, "το Safari της [Apple] δεν είναι ούτε το ασφαλέστερο από τα προγράμματα περιήγησης."
Ας ξεκινήσουν τα παιχνίδια
Ενώ ο Krause δεν μπορούσε να εξετάσει τον κώδικα για να καταλάβει την πραγματική του πρόθεση, έδειξε πώς οι εφαρμογές θα μπορούσαν να λειτουργήσουν γύρω από τους περιορισμούς ATT. Ο Yaari πιστεύει ότι αυτό θα πρέπει να κάνει την Apple να σηκωθεί, να λάβει υπόψη του και ίσως ακόμη και να εφαρμόσει πρόσθετους περιορισμούς για τον περιορισμό της παρακολούθησης μέσω προγραμμάτων περιήγησης εντός εφαρμογής.
"Είναι η αρχή του παιχνιδιού γάτας και ποντικιού που θα παίξουν οι δύο εταιρείες, με το αποτέλεσμα να έχει σημαντικές επιπτώσεις στον κλάδο", είπε ο Yaari.
Ο Tom Garrubba, Διευθυντής, Υπηρεσίες Διαχείρισης Κινδύνων Τρίτων στην Echelon Risk + Cyber, πιστεύει ότι η Apple φαίνεται να έχει βελτιώσει σημαντικά την εικόνα της όσον αφορά την αντιμετώπιση θεμάτων απορρήτου όχι μόνο στην αντίληψη αλλά και στη δράση μέσω της κωδικοποίησης και της ανάπτυξής της.
"Ίσως θα χρειαστεί μια ομαδική αγωγή, κακές σχέσεις δημοσίων σχέσεων ή/και ένα βαρύ πρόστιμο για παραβιάσεις απορρήτου για να ξυπνήσουν οι προγραμματιστές εφαρμογών [με το γεγονός] ότι πρέπει να φτιάχνουν το "απόρρητο από το σχεδιασμό" σε όλες τις πτυχές της ανάπτυξης κώδικα και της παροχής υπηρεσιών», είπε ο Garrubba στο Lifewire μέσω email. "Προβλέπω ότι η αδράνεια από τις μεγάλες τεχνολογίες θα το οδηγήσει σε αγωγή ή βαριά ποινή που περιμένει να συμβεί."
Στο μεταξύ, για να προστατεύσετε το απόρρητό σας, η Krause προτείνει να βγείτε από το πρόγραμμα περιήγησης εντός εφαρμογής και απλώς να αντιγράψετε τη διεύθυνση URL για να ανοίξετε σε άλλο εξωτερικό πρόγραμμα περιήγησης.
"Τουλάχιστον, οι χρήστες δεν πρέπει να χρησιμοποιούν προγράμματα περιήγησης εντός εφαρμογής για να εισάγουν ευαίσθητες ή εμπιστευτικές πληροφορίες", προτείνει ο Yaari.
Ωστόσο, οι ειδικοί μας αναγνωρίζουν ότι είναι απίθανο πολλοί άνθρωποι να αλλάξουν πραγματικά τη συμπεριφορά τους, καθώς αυτό θα μπορούσε να κάνει την εμπειρία του χρήστη πιο άβολη.
"Δυστυχώς, δεδομένου ότι το 99,9% των ανθρώπων υποφέρουν από την ανάγκη για "άμεση ικανοποίηση", θα παραλείψουν αυτό το βήμα και θα το ανοίξουν απευθείας στο προεπιλεγμένο πρόγραμμα περιήγησής τους", είπε ο Garrubba. "Αυτό είναι ξεκάθαρο που θέλει η μεγάλη τεχνολογία και πιθανότατα θα πάρουν τα δεδομένα που θέλουν."