Key takeaways
- En sikkerhetsforsker har vist at både Facebook- og Instagram-apper på iOS setter inn en egendefinert kode mens de åpner lenker i nettleserne i appen.
- Koden omgår Apples personvernbeskyttelse og kan potensielt brukes til å spore deg også på tredjepartsnettsteder.
- Andre sikkerhetseksperter foreslår å unngå bruk av nettlesere i appen og forventer at Apple tar skritt for å oppheve denne løsningen.
Ny forskning har vist at de fleste apper ikke bruker smarttelefonens standard nettleser for å åpne koblinger, noe som potensielt kan omgå operativsystemets sikkerhets- og personvernfunksjoner.
En sikkerhetsforsker, Felix Krause, har vist at Metas Instagram- og Facebook-apper på iOS legger til noe JavaScript-kode til tredjepartsnettsteder når du besøker dem ved hjelp av appens tilpassede nettleser i appen. Nettlesere i appen lar folk besøke nettsteder uten å forlate appene deres. Den innsatte koden lar appene potensielt spore alle dine interaksjoner med eksterne nettsteder, og omgå iOS' App Tracking Transparency (ATT)-funksjon. Apple la til ATT spesielt for å tvinge apputviklere til å få folks samtykke før de sporer data generert av tredjeparter.
"Instagrams løsning er ikke overraskende," sa Lior Yaari, administrerende direktør og medgründer av cybersecurity-oppstarten Grip Security, til Lifewire via e-post. "Apples restriksjoner truer kjernen i selskapets forretningsmodell, så det var et spørsmål om å tilpasse seg [for å] overleve."
slår der det gjør vondt
Meta har åpent innrømmet at ATT-funksjonen kostet den rundt 10 milliarder dollar i året i annonseinntekter.
Under forskningen sin oppdaget Krause at når en iOS-bruker av Facebook- og Instagram-appene klikker på en lenke i disse sosiale nettverkene, åpnes de i nettleseren i appen.
Folk bør i det minste ikke bruke nettlesere i appen for å legge inn sensitiv eller konfidensiell informasjon.
Han advarte om at den tilpassede JavaScript-koden som nettleseren i appen injiserer, gjør at begge appene potensielt kan spore hver enkelt interaksjon med eksterne nettsteder, inkludert alt du skriver inn i en tekstboks som passord og adresser.
"Med 1 milliard aktive Instagram-brukere, er mengden data Instagram kan samle inn ved å injisere sporingskoden på hvert tredjepartsnettsted som åpnes fra Instagram & Facebook-appen, et svimlende beløp," skrev Krause.
Oppdagelsen overrasker ikke George Gerchow, Chief Security Officer og Senior Vice President of IT i Sumo Logic.
Snakker til Lifewire over e-post, sa Gerchow at sosiale medier har noen av de kraftigste algoritmene for kunstig intelligens og maskinlæring i verden, som, kombinert med deres evige forsøk på å få folk til å holde seg på plattformene deres, blir en reell fare.
"Jeg tror sterkt at Apple har visst om dette, men ikke ønsket publisiteten," sa Gerchow og la til, "[Apples] Safari er heller ikke den sikreste nettleseren."
La lekene begynne
Mens Krause ikke kunne undersøke koden for å finne ut av dens virkelige hensikt, demonstrerte han hvordan apper kunne omgå ATT-restriksjonene. Yaari mener dette burde få Apple til å reise seg, legge merke til og kanskje til og med implementere ytterligere begrensninger for å begrense sporing gjennom nettlesere i appen.
"Det er starten på katte- og mus-spillet de to selskapene skal spille, med utfallet av store bransjemessige konsekvenser," sa Yaari.
Tom Garrubba, direktør for tredjeparts risikostyringstjenester hos Echelon Risk + Cyber, mener at Apple ser ut til å ha forbedret sitt image betydelig når det gjelder å ta opp personvernspørsmål, ikke bare i persepsjon, men i handling via koding og distribusjon.
"Kanskje det vil kreve et gruppesøksmål, dårlig PR og/eller en høy bot for brudd på personvernet for applikasjonsutviklere å våkne opp [til det faktum] at de trenger å bake "privacy by design" inn i alle aspekter av kodeutvikling og tjenestelevering, sa Garrubba til Lifewire via e-post. «Jeg spår at manglende handling fra storteknologisk side vil føre dette til et søksmål eller høy straff som venter på å skje.»
I mellomtiden, for å ivareta personvernet ditt, foreslår Krause at du avslutter nettleseren i appen og kopierer og limer inn nettadressen for å åpne i en annen ekstern nettleser.
"I det minste bør folk ikke bruke nettlesere i appen for å legge inn sensitiv eller konfidensiell informasjon," foreslår Yaari.
Ekspertene våre erkjenner imidlertid at det er usannsynlig at mange faktisk vil endre oppførselen sin, da dette kan gjøre brukeropplevelsen mer ubeleilig.
"Dessverre, siden 99,9 % av mennesker lider av behovet for 'umiddelbar tilfredsstillelse', vil de hoppe over dette trinnet og åpne det rett i standardnettleseren deres," sa Garrubba. "Dette er helt klart hva storteknologien vil ha, og de vil mest sannsynlig få dataene de vil ha."
