Ключевые выводы
- Исследователь в области безопасности продемонстрировал, что приложения Facebook и Instagram на iOS вставляют пользовательский код при открытии ссылок во встроенных браузерах приложений.
- Код обходит защиту конфиденциальности Apple и потенциально может использоваться для отслеживания вас на сторонних веб-сайтах.
- Другие эксперты по безопасности предлагают избегать использования браузеров в приложениях и ожидают, что Apple предпримет шаги, чтобы аннулировать этот обходной путь.
Новое исследование показало, что большинство приложений не используют веб-браузер смартфона по умолчанию для открытия ссылок, что потенциально может обойти функции безопасности и конфиденциальности операционной системы.
Исследователь в области безопасности Феликс Краузе показал, что приложения Meta для Instagram и Facebook на iOS добавляют некоторый код JavaScript на сторонние веб-сайты, когда вы посещаете их с помощью пользовательского встроенного в приложение браузера. Браузеры в приложениях позволяют людям посещать веб-сайты, не выходя из своих приложений. Вставленный код позволяет приложениям потенциально отслеживать все ваши взаимодействия с внешними веб-сайтами, минуя функцию прозрачности отслеживания приложений iOS (ATT). Apple добавила ATT специально, чтобы заставить разработчиков приложений получать согласие людей перед отслеживанием данных, созданных третьими лицами.
«Обходной путь Instagram не удивителен», - сказал Lifewire по электронной почте Лиор Яари, генеральный директор и соучредитель стартапа Grip Security, занимающегося кибербезопасностью. «Ограничения Apple угрожают основе бизнес-модели компании, поэтому нужно было адаптироваться, чтобы выжить».
Бить там, где больно
Meta открыто признала, что функция ATT обходилась ей примерно в 10 миллиардов долларов дохода от рекламы в год.
Во время своего исследования Краузе обнаружил, что когда пользователь iOS приложений Facebook и Instagram щелкает ссылку в этих социальных сетях, они открываются во встроенном браузере приложения.
Как минимум, люди не должны использовать встроенные в приложения браузеры для ввода какой-либо важной или конфиденциальной информации.
Он предупредил, что пользовательский код JavaScript, который внедряет браузер внутри приложения, позволяет обоим приложениям потенциально отслеживать каждое взаимодействие с внешними веб-сайтами, включая все, что вы вводите в текстовое поле, например пароли и адреса.
«С 1 миллиардом активных пользователей Instagram объем данных, которые Instagram может собрать, введя код отслеживания на каждый сторонний веб-сайт, открытый из приложения Instagram и Facebook, является ошеломляющим», - написал Краузе.
Это открытие не удивило Джорджа Герчоу, директора по безопасности и старшего вице-президента по информационным технологиям Sumo Logic.
В разговоре с Lifewire по электронной почте Герчоу сказал, что социальные сети имеют одни из самых мощных алгоритмов искусственного интеллекта и машинного обучения в мире, что в сочетании с их непрекращающимися попытками заставить людей оставаться на своих платформах становится реальная опасность.
«Я твердо верю, что Apple знала об этом, но не хотела огласки», - сказал Герчоу, добавив: «[Apple] Safari - не самый безопасный из браузеров».
Да начнутся игры
Хотя Краузе не смог изучить код, чтобы выяснить его истинное назначение, он продемонстрировал, как приложения могут обойти ограничения ATT. Яари считает, что это должно заставить Apple встать, обратить внимание и, возможно, даже ввести дополнительные ограничения, чтобы ограничить отслеживание через браузеры приложений.
«Это начало игры в кошки-мышки, в которую будут играть две компании, и результат будет иметь серьезные последствия для отрасли», - сказал Яари.
Том Гаррубба, директор сторонних услуг по управлению рисками в Echelon Risk + Cyber, считает, что Apple значительно улучшила свой имидж в решении вопросов конфиденциальности не только в восприятии, но и в действии посредством кодирования и развертывания.
«Возможно, потребуется коллективный иск, плохой пиар и/или огромный штраф за нарушение конфиденциальности, чтобы разработчики приложений осознали [факт], что им нужно испечь «конфиденциальность по замыслу» во все аспекты разработки кода и предоставления услуг», - сказал Гаррубба Lifewire по электронной почте. «Я предсказываю, что бездействие крупных технологических компаний приведет к судебному процессу или серьезному штрафу».
Тем временем, чтобы защитить вашу конфиденциальность, Краузе предлагает выйти из браузера в приложении и просто скопировать и вставить URL-адрес, чтобы открыть его в другом внешнем браузере.
"Как минимум, люди не должны использовать встроенные браузеры для ввода какой-либо важной или конфиденциальной информации", - предлагает Яари.
Однако наши эксперты признают, что маловероятно, что многие люди на самом деле изменят свое поведение, поскольку это может сделать пользовательский опыт более неудобным.
"К сожалению, поскольку 99,9% людей страдают от потребности в "мгновенном удовлетворении", они пропустят этот шаг и откроют его прямо в браузере по умолчанию", - сказал Гаррубба. «Это явно то, чего хотят большие технические специалисты, и они, скорее всего, получат нужные им данные».