Key Takeaway
- Seorang penyelidik keselamatan telah menunjukkan bahawa kedua-dua apl Facebook dan Instagram pada iOS memasukkan kod tersuai semasa membuka pautan dalam penyemak imbas dalam apl mereka.
- Kod tersebut memintas perlindungan privasi Apple dan berpotensi digunakan untuk menjejaki anda di tapak web pihak ketiga juga.
- Pakar keselamatan lain mencadangkan untuk mengelakkan penggunaan penyemak imbas dalam apl dan mengharapkan Apple mengambil langkah untuk membatalkan penyelesaian ini.
Penyelidikan baharu telah menunjukkan bahawa kebanyakan apl tidak menggunakan penyemak imbas web lalai telefon pintar untuk membuka pautan, yang mungkin boleh memintas ciri keselamatan dan privasi sistem pengendalian.
Seorang penyelidik keselamatan, Felix Krause, telah menunjukkan bahawa apl Instagram dan Facebook Meta pada iOS menambahkan beberapa kod JavaScript pada tapak web pihak ketiga apabila anda melawatinya menggunakan penyemak imbas dalam apl tersuai apl tersebut. Penyemak imbas dalam apl membenarkan orang ramai melawat tapak web tanpa meninggalkan apl mereka. Kod yang dimasukkan membolehkan apl menjejaki semua interaksi anda dengan tapak web luaran, memintas ciri Ketelusan Penjejakan Apl (ATT) iOS. Apple menambah ATT secara khusus untuk memaksa pembangun apl mendapatkan persetujuan orang ramai sebelum menjejak data yang dijana oleh pihak ketiga.
"Penyelesaian Instagram tidak menghairankan, " Lior Yaari, Ketua Pegawai Eksekutif dan pengasas bersama syarikat permulaan keselamatan siber Grip Security, memberitahu Lifewire melalui e-mel. "Sekatan Apple mengancam teras model perniagaan syarikat, jadi ia adalah soal menyesuaikan diri [untuk] bertahan."
Memukul Di Mana Sakit
Meta secara terbuka mengakui bahawa ciri ATT menelan belanja kira-kira $10 bilion setahun dalam hasil iklan.
Semasa penyelidikannya, Krause mendapati bahawa apabila pengguna iOS apl Facebook dan Instagram mengklik pautan dalam rangkaian sosial ini, ia dibuka dalam penyemak imbas dalam apl.
Sekurang-kurangnya, orang tidak seharusnya menggunakan penyemak imbas dalam apl untuk memasukkan sebarang maklumat sensitif atau sulit.
Beliau memberi amaran bahawa kod JavaScript tersuai yang disuntik oleh penyemak imbas dalam apl membolehkan kedua-dua apl menjejaki setiap interaksi dengan tapak web luaran, termasuk semua yang anda taip ke dalam kotak teks seperti kata laluan dan alamat.
"Dengan 1 Bilion pengguna Instagram aktif, jumlah data yang boleh dikumpulkan oleh Instagram dengan menyuntik kod penjejakan ke dalam setiap tapak web pihak ketiga yang dibuka daripada apl Instagram & Facebook adalah jumlah yang mengejutkan," tulis Krause.
Penemuan itu tidak mengejutkan George Gerchow, Ketua Pegawai Keselamatan dan Naib Presiden Kanan IT di Sumo Logic.
Bercakap kepada Lifewire melalui e-mel, Gerchow berkata rangkaian media sosial mempunyai beberapa kecerdasan buatan dan algoritma pembelajaran mesin yang paling berkuasa di dunia, yang, apabila digabungkan dengan percubaan kekal mereka untuk menarik orang ramai kekal di platform mereka, menjadi bahaya sebenar.
"Saya sangat percaya bahawa Apple telah mengetahui tentang perkara ini tetapi tidak mahu publisiti itu," kata Gerchow sambil menambah, "Safari [Apple] juga bukan penyemak imbas yang paling selamat."
Biar Permainan Bermula
Walaupun Krause tidak dapat meneliti kod tersebut untuk mengetahui niat sebenar kod itu, dia menunjukkan cara apl boleh berfungsi di sekeliling sekatan ATT. Yaari berpendapat ini harus membuatkan Apple berdiri, mengambil perhatian, dan mungkin juga melaksanakan sekatan tambahan untuk mengehadkan penjejakan melalui pelayar dalam apl.
"Ini adalah permulaan permainan kucing dan tikus yang akan dimainkan oleh kedua-dua syarikat, dengan hasilnya mempunyai kesan industri yang besar," kata Yaari.
Tom Garrubba, Pengarah, Perkhidmatan Pengurusan Risiko Pihak Ketiga di Eselon Risk + Cyber, percaya Apple nampaknya telah meningkatkan imejnya dengan banyak dalam menangani perkara privasi bukan sahaja dalam persepsi tetapi dalam tindakan melalui pengekodan dan penggunaannya.
"Mungkin memerlukan tindakan undang-undang tindakan kelas, PR yang tidak baik dan/atau denda yang tinggi untuk pelanggaran privasi bagi pembangun aplikasi untuk sedar [kenyataan] bahawa mereka perlu membuat 'privasi mengikut reka bentuk' ke dalam semua aspek pembangunan kod dan penyampaian perkhidmatan," kata Garrubba kepada Lifewire melalui e-mel. "Saya meramalkan ketidaktindakan oleh teknologi besar akan membawa ini kepada tuntutan mahkamah atau pen alti yang berat menunggu untuk berlaku."
Sementara itu, untuk menjaga privasi anda, Krause mencadangkan agar anda keluar dari penyemak imbas dalam apl dan hanya salin-tampal URL untuk dibuka dalam penyemak imbas luaran yang lain.
"Sekurang-kurangnya, orang tidak seharusnya menggunakan penyemak imbas dalam apl untuk memasukkan sebarang maklumat sensitif atau sulit, " cadang Yaari.
Walau bagaimanapun, pakar kami mengakui bahawa tidak mungkin ramai orang benar-benar akan mengubah tingkah laku mereka kerana ini boleh menyebabkan pengalaman pengguna lebih menyusahkan.
"Malangnya, memandangkan 99.9% manusia mengalami keperluan untuk 'kepuasan segera,' mereka akan melangkau langkah ini dan membukanya terus dalam penyemak imbas lalai mereka," kata Garrubba. "Ini jelas yang dimahukan oleh teknologi besar dan kemungkinan besar mereka akan mendapat data yang mereka inginkan."