موارد مهم
- یک محقق امنیتی نشان داده است که هر دو برنامه فیس بوک و اینستاگرام در iOS یک کد سفارشی را در هنگام باز کردن پیوندها در مرورگرهای درون برنامه خود وارد می کنند.
- کد حفاظت از حریم خصوصی اپل را دور می زند و به طور بالقوه می تواند برای ردیابی شما در وب سایت های شخص ثالث نیز استفاده شود.
- سایر کارشناسان امنیتی توصیه می کنند از استفاده از مرورگرهای درون برنامه ای خودداری کنید و انتظار دارند اپل اقداماتی را برای لغو این راه حل انجام دهد.
تحقیق جدید نشان داده است که بیشتر برنامهها از مرورگر وب پیشفرض گوشی هوشمند برای باز کردن پیوندها استفاده نمیکنند، که به طور بالقوه میتواند ویژگیهای امنیتی و حریم خصوصی سیستم عامل را دور بزند.
یک محقق امنیتی، Felix Krause، نشان داده است که برنامههای اینستاگرام و فیسبوک متا در iOS زمانی که از وبسایتهای شخص ثالث بازدید میکنید با استفاده از مرورگر درونبرنامه سفارشی برنامه، مقداری کد جاوا اسکریپت را اضافه میکنند. مرورگرهای درون برنامه ای به افراد اجازه می دهند بدون خروج از برنامه های خود از وب سایت ها بازدید کنند. کد درج شده به برنامهها اجازه میدهد تا به طور بالقوه تمام تعاملات شما با وبسایتهای خارجی را ردیابی کنند و از ویژگی شفافیت ردیابی برنامه iOS (ATT) عبور کنند. اپل به طور خاص ATT را اضافه کرد تا توسعه دهندگان برنامه را مجبور کند قبل از ردیابی داده های تولید شده توسط اشخاص ثالث، رضایت مردم را دریافت کنند.
لیور یااری، مدیرعامل و یکی از بنیانگذاران استارتآپ امنیت سایبری Grip Security، از طریق ایمیل به Lifewire گفت: راهحل اینستاگرام تعجبآور نیست. «محدودیتهای اپل هستهی مدل کسبوکار شرکت را تهدید میکند، بنابراین موضوع تطبیق [برای] بقا بود.»
ضربه زدن به جایی که درد دارد
Meta آشکارا اعتراف کرده است که ویژگی ATT حدود 10 میلیارد دلار در سال درآمد تبلیغاتی برای آن هزینه دارد.
در طول تحقیقات خود، کراوز کشف کرد که وقتی یک کاربر iOS از برنامه های فیس بوک و اینستاگرام روی پیوندی در این شبکه های اجتماعی کلیک می کند، آنها در مرورگر درون برنامه باز می شوند.
حداقل، افراد نباید از مرورگرهای درون برنامه ای برای وارد کردن اطلاعات حساس یا محرمانه استفاده کنند.
او هشدار داد که کد جاوا اسکریپت سفارشی که مرورگر درون برنامه تزریق می کند، به هر دو برنامه امکان می دهد به طور بالقوه هر تعاملی را با وب سایت های خارجی، از جمله هر چیزی که در یک جعبه متن تایپ می کنید، مانند گذرواژه ها و آدرس ها، ردیابی کنند.
"با 1 میلیارد کاربر فعال اینستاگرام، میزان داده ای که اینستاگرام می تواند با تزریق کد رهگیری به هر وب سایت شخص ثالثی که از برنامه اینستاگرام و فیس بوک باز می شود جمع آوری کند، مقدار خیره کننده ای است."
این کشف جورج گرچو، افسر ارشد امنیتی و معاون ارشد فناوری اطلاعات در Sumo Logic را شگفتزده نمیکند.
در صحبت با Lifewire از طریق ایمیل، گرچو گفت که شبکه های رسانه های اجتماعی دارای برخی از قدرتمندترین الگوریتم های هوش مصنوعی و یادگیری ماشینی در جهان هستند که وقتی با تلاش همیشگی آنها برای ترغیب مردم به ماندن در پلتفرم هایشان ترکیب می شوند، تبدیل به این می شوند. یک خطر واقعی
"من قویاً معتقدم که اپل از این موضوع مطلع بوده است، اما تمایلی به تبلیغات نداشته است."
اجازه دهید بازی ها شروع شوند
در حالی که کراوز نمی توانست کد را بررسی کند تا هدف واقعی آن را دریابد، او نشان داد که چگونه برنامه ها می توانند در اطراف محدودیت های ATT کار کنند. یااری فکر میکند که این باید باعث شود اپل بایستد، توجه کند، و شاید حتی محدودیتهای اضافی را برای محدود کردن ردیابی از طریق مرورگرهای درونبرنامه اعمال کند.
"این شروع بازی موش و گربه است که این دو شرکت انجام خواهند داد و نتیجه آن پیامدهای عمده ای در صنعت خواهد داشت."
تام گاروبا، مدیر خدمات مدیریت ریسک شخص ثالث در Echelon Risk + Cyber، معتقد است که به نظر می رسد اپل تصویر خود را در پرداختن به مسائل حریم خصوصی، نه تنها در درک، بلکه در عمل از طریق کدنویسی و استقرار خود، بسیار بهبود بخشیده است.
"شاید برای توسعهدهندگان برنامهها برای بیدار شدن [با این واقعیت] که باید "حریم خصوصی بر اساس طراحی" را بسازند، یک دعوی حقوقی، روابط عمومی بد و/یا جریمه سنگین برای نقض حریم خصوصی لازم باشد. گاروبا از طریق ایمیل به Lifewire گفت. من پیشبینی میکنم که عدم اقدام فناوریهای بزرگ منجر به شکایت یا جریمه سنگینی در انتظار وقوع خواهد شد.»
در عین حال، برای محافظت از حریم خصوصی خود، Krause پیشنهاد می کند از مرورگر درون برنامه خارج شوید و به سادگی URL را کپی کنید تا در مرورگر خارجی دیگری باز شود.
"حداقل، افراد نباید از مرورگرهای درون برنامه ای برای وارد کردن اطلاعات حساس یا محرمانه استفاده کنند." Yaari پیشنهاد می کند.
اما، کارشناسان ما اذعان دارند که بعید است بسیاری از افراد واقعاً رفتار خود را تغییر دهند زیرا این امر می تواند تجربه کاربر را ناخوشایندتر کند.
"متأسفانه، از آنجایی که 99.9٪ از انسان ها از نیاز به "لذت فوری" رنج می برند، از این مرحله صرف نظر می کنند و آن را مستقیماً در مرورگر پیش فرض خود باز می کنند. این دقیقاً همان چیزی است که فناوری های بزرگ می خواهند، و آنها به احتمال زیاد داده هایی را که می خواهند به دست خواهند آورد.»
