Keeawayt
- Tietoturvatutkija on osoittanut, että sekä Facebook- että Instagram-sovellukset iOS:ssä lisäävät mukautetun koodin avaaessaan linkkejä sovelluksen sisäisissä selaimissaan.
- Koodi kiertää Applen yksityisyyden suojan, ja sitä voidaan mahdollisesti käyttää seuraamaan sinua myös kolmansien osapuolien verkkosivustoilla.
- Muut tietoturvaasiantuntijat suosittelevat sovellusten sisäisten selainten käytön välttämistä ja odottavat Applen ryhtyvän toimiin tämän kiertotavan mitätöimiseksi.
Uusi tutkimus on osoittanut, että useimmat sovellukset eivät käytä älypuhelimen oletusselainta linkkien avaamiseen, mikä voisi mahdollisesti kiertää käyttöjärjestelmän suojaus- ja tietosuojaominaisuudet.
Tietoturvatutkija Felix Krause on osoittanut, että Metan Instagram- ja Facebook-sovellukset iOS:ssä lisäävät JavaScript-koodia kolmannen osapuolen verkkosivustoille, kun käyt niillä sovelluksen mukautetulla sovelluksen sisäisellä selaimella. Sovelluksen sisäisten selaimien avulla ihmiset voivat vierailla verkkosivustoilla poistumatta sovelluksistaan. Lisätyn koodin avulla sovellukset voivat mahdollisesti seurata kaikkia vuorovaikutuksiasi ulkoisten verkkosivustojen kanssa ohittaen iOS:n App Tracking Transparency (ATT) -ominaisuuden. Apple lisäsi ATT:n pakottaakseen sovelluskehittäjät hankkimaan ihmisten suostumuksen ennen kolmansien osapuolten luomien tietojen seurantaa.
"Instagramin ratkaisu ei ole yllättävä", Lior Yaari, kyberturvallisuusstartupin Grip Securityn toimitusjohtaja ja toinen perustaja, kertoi Lifewirelle sähköpostitse. "Applen rajoitukset uhkaavat yrityksen liiketoimintamallin ydintä, joten oli sopeuduttava selviytymään."
Lyö siellä missä sattuu
Meta on avoimesti myöntänyt, että ATT-ominaisuus maksoi sille noin 10 miljardia dollaria vuodessa mainostuloina.
Tutkimuksensa aikana Krause huomasi, että kun Facebook- ja Instagram-sovellusten iOS-käyttäjä napsauttaa linkkiä näissä sosiaalisissa verkostoissa, ne avataan sovelluksen sisäisessä selaimessa.
Ihmisten ei tulisi ainakaan syöttää arkaluonteisia tai luottamuksellisia tietoja sovelluksen sisäisten selaimien avulla.
Hän varoitti, että sovelluksen sisäisen selaimen antaman mukautetun JavaScript-koodin avulla molemmat sovellukset voivat mahdollisesti seurata jokaista vuorovaikutusta ulkoisten verkkosivustojen kanssa, mukaan lukien kaikkea, mitä kirjoitat tekstikenttään, kuten salasanat ja osoitteet.
"Miljoonalla aktiivisella Instagram-käyttäjällä tietomäärä, jonka Instagram voi kerätä syöttämällä seurantakoodin jokaiselle Instagram- ja Facebook-sovelluksesta avatulle kolmannen osapuolen verkkosivustolle, on hämmästyttävä määrä", Krause kirjoitti.
Löytö ei yllätä George Gerchowia, Sumo Logicin tietoturvapäällikköä ja IT-johtajaa.
Puhuessaan Lifewirelle sähköpostitse Gerchow sanoi, että sosiaalisen median verkoilla on joitain maailman tehokkaimmista tekoäly- ja koneoppimisalgoritmeista, jotka yhdistettynä heidän ikuiseen yritykseensä saada ihmiset pysymään alustoillaan todellinen vaara.
"Uskon vahvasti, että Apple on tiennyt tästä, mutta ei halunnut julkisuutta", Gerchow sanoi ja lisäsi: "[Applen] Safari ei myöskään ole turvallisin selaimista."
Pelit alkavat
Vaikka Krause ei voinut tutkia koodia selvittääkseen sen todellista tarkoitusta, hän osoitti, kuinka sovellukset voivat kiertää ATT-rajoituksia. Yaarin mielestä tämän pitäisi saada Apple seisomaan, huomioimaan ja ehkä jopa toteuttamaan lisärajoituksia, jotka rajoittavat sovelluksen sisäisten selainten kautta tapahtuvaa seurantaa.
"Tämä on kissa ja hiiri -pelin alku, jonka kaksi yritystä pelaavat, ja lopputuloksella on suuria teollisuudenhaaroja", sanoi Yaari.
Tom Garrubba, johtaja, Echelon Risk + Cyberin kolmannen osapuolen riskinhallintapalveluista, uskoo, että Apple näyttää parantaneen huomattavasti imagoaan yksityisyyden suojaamiseen liittyvissä asioissa, ei vain havaitsemisessa, vaan myös toiminnassa koodauksen ja käyttöönoton avulla.
"Ehkä sovelluskehittäjiltä vaaditaan ryhmäkanne, huono PR ja/tai kova sakko yksityisyyden loukkauksista, jotta he heräävät [tosiasiaan], että heidän on luotava "suunniteltu yksityisyys" kaikkiin koodikehityksen ja palveluntarjonnan osa-alueisiin", Garrubba kertoi Lifewirelle sähköpostitse. "Ennustan, että ison tekniikan toimettomuus johtaa tämän oikeusjuttuihin tai raskaaseen rangaistukseen, joka odottaa tapahtumista."
Sillä välin yksityisyytesi turvaamiseksi Krause ehdottaa, että suljet sovelluksen sisäisen selaimen ja kopioit ja liität URL-osoitteen avataksesi toisessa ulkoisessa selaimessa.
"Ihmisten ei tulisi ainakaan käyttää sovelluksen sisäisiä selaimia arkaluontoisten tai luottamuksellisten tietojen syöttämiseen", Yaari ehdottaa.
Asiantuntijamme kuitenkin myöntävät, että on epätodennäköistä, että monet ihmiset todella muuttavat käyttäytymistään, koska tämä voi tehdä käyttökokemuksesta epämukavamman.
"Valitettavasti, koska 99,9 % ihmisistä kärsii "välittömän tyydytyksen" tarpeesta, he ohittavat tämän vaiheen ja avaavat sen suoraan oletusselaimellaan", Garrubba sanoi. "Tämä on selvästi se, mitä iso teknologia haluaa, ja he todennäköisesti saavat haluamansa tiedot."
