Əsas Çıxarışlar
- Təhlükəsizlik tədqiqatçısı nümayiş etdirdi ki, iOS-da həm Facebook, həm də Instagram tətbiqləri tətbiqdaxili brauzerlərdə keçidləri açarkən fərdi kod daxil edir.
- Kod Apple-ın məxfilik qorunmasından yayınır və potensial olaraq sizi üçüncü tərəfin vebsaytlarında da izləmək üçün istifadə edilə bilər.
- Digər təhlükəsizlik mütəxəssisləri tətbiqdaxili brauzerlərdən istifadə etməməyi təklif edir və Apple-dan bu həlli ləğv etmək üçün addımlar atacağını gözləyir.
Yeni araşdırmalar göstərdi ki, əksər proqramlar bağlantıları açmaq üçün smartfonun defolt veb brauzerindən istifadə etmir və bu, potensial olaraq əməliyyat sisteminin təhlükəsizlik və məxfilik xüsusiyyətlərindən yayına bilər.
Təhlükəsizlik tədqiqatçısı Feliks Krause göstərdi ki, iOS-da Meta-nın Instagram və Facebook proqramları, tətbiqin xüsusi tətbiqdaxili brauzerindən istifadə edərək üçüncü tərəf vebsaytlarına daxil olduğunuz zaman onlara bəzi JavaScript kodu əlavə edir. Tətbiqdaxili brauzerlər insanlara tətbiqlərini tərk etmədən veb saytlara daxil olmağa imkan verir. Daxil edilmiş kod tətbiqlərə iOS-un Tətbiq İzləmə Şəffaflığı (ATT) funksiyasından yan keçərək, xarici veb saytlarla bütün qarşılıqlı əlaqənizi potensial olaraq izləməyə imkan verir. Apple üçüncü tərəflər tərəfindən yaradılan məlumatları izləməzdən əvvəl proqram tərtibatçılarını insanların razılığını almağa məcbur etmək üçün xüsusi olaraq ATT əlavə etdi.
"Instagram-ın həlli təəccüblü deyil," kibertəhlükəsizlik startapı Grip Security-nin baş direktoru və həmtəsisçisi Lior Yaari e-poçt vasitəsilə Lifewire-ə bildirib. "Apple-ın məhdudiyyətləri şirkətin biznes modelinin əsasını təhdid edir, ona görə də bu, sağ qalmaq üçün uyğunlaşmaq məsələsi idi."
Ağrıyan yerə vurmaq
Meta açıq şəkildə etiraf etdi ki, ATT funksiyası reklam gəlirinə ildə təxminən 10 milyard dollara başa gəlir.
Tədqiqatları zamanı Krause aşkar etdi ki, Facebook və Instagram tətbiqlərinin iOS istifadəçisi bu sosial şəbəkələrdəki linki kliklədikdə, onlar tətbiqdaxili brauzerdə açılır.
Ən azı insanlar hər hansı həssas və ya məxfi məlumatı daxil etmək üçün tətbiqdaxili brauzerlərdən istifadə etməməlidirlər.
O xəbərdarlıq etdi ki, tətbiqdaxili brauzerin daxil etdiyi fərdi JavaScript kodu hər iki tətbiqə parollar və ünvanlar kimi mətn qutusuna yazdığınız hər şey daxil olmaqla, xarici vebsaytlarla hər bir qarşılıqlı əlaqəni izləməyə imkan verir.
"1 milyard aktiv Instagram istifadəçisi ilə Instagram və Facebook tətbiqindən açılan hər üçüncü tərəf veb-saytına izləmə kodu daxil etməklə Instagram-ın toplaya biləcəyi məlumatların miqdarı heyrətamiz məbləğdir" deyə Krause yazdı.
Kəşf Sumo Logic-in Baş Təhlükəsizlik Mütəxəssisi və İnformasiya Texnologiyaları üzrə Baş Vitse-Prezidenti George Gerchow-u təəccübləndirmir.
E-poçt vasitəsilə Lifewire-a danışan Gerchow dedi ki, sosial media şəbəkələri dünyada ən güclü süni intellekt və maşın öyrənmə alqoritmlərinə malikdir və bu alqoritmlər insanların öz platformalarında qalmalarını təmin etmək üçün onların əbədi cəhdləri ilə birləşdikdə bu alqoritmlərə çevrilir. əsl təhlükə.
"Mən qəti şəkildə inanıram ki, Apple bundan xəbərdardır, lakin ictimaiyyətə açıqlanmasını istəmir" deyən Gerchow, "[Apple'ın] Safarisi də ən təhlükəsiz brauzer deyil."
Oyunlar Başlasın
Krause kodun həqiqi niyyətini anlamaq üçün araşdıra bilməsə də, o, proqramların ATT məhdudiyyətləri ətrafında necə işləyə biləcəyini nümayiş etdirdi. Yaari hesab edir ki, bu, Apple-ı ayağa qaldırmalı, xəbərdar etməli və bəlkə də tətbiqdaxili brauzerlər vasitəsilə izləməni məhdudlaşdırmaq üçün əlavə məhdudiyyətlər tətbiq etməlidir.
"Bu, iki şirkətin oynayacağı pişik və siçan oyununun başlanğıcıdır və nəticədə böyük sənaye nəticələri olacaq" dedi Yaari.
Tom Garrubba, Echelon Risk + Cyber-də Üçüncü Tərəf Risk İdarəetmə Xidmətləri Direktoru hesab edir ki, Apple kodlaşdırma və yerləşdirmə vasitəsilə təkcə qavrayışda deyil, həm də fəaliyyətdə məxfilik məsələlərinin həllində öz imicini xeyli yaxşılaşdırıb.
"Bəlkə də, proqram tərtibatçılarının "dizayn üzrə məxfiliyi" təmin etməli olduqlarını [faktına] ayılmaları üçün məxfiliyin pozulmasına görə sinif davası, pis PR və/yaxud böyük cərimə tələb olunacaq. kodun inkişafı və xidmətin göstərilməsinin bütün aspektlərini əhatə edir "dedi Garrubba Lifewire-a e-poçt vasitəsilə. "Böyük texnologiyanın hərəkətsizliyinin bunun məhkəməyə və ya baş verməsini gözləyən ağır cəzaya səbəb olacağını təxmin edirəm."
Bu arada məxfiliyinizi qorumaq üçün Krause tətbiqdaxili brauzerdən çıxmağı və başqa xarici brauzerdə açmaq üçün sadəcə URL-i kopyalayıb yapışdırmağı təklif edir.
"İnsanlar ən azı hər hansı həssas və ya məxfi məlumatı daxil etmək üçün tətbiqdaxili brauzerlərdən istifadə etməməlidirlər," Yaari təklif edir.
Lakin ekspertlərimiz etiraf edir ki, bir çox insanın davranışını dəyişməsi ehtimalı azdır, çünki bu, istifadəçi təcrübəsini daha əlverişsiz edə bilər.
"Təəssüf ki, insanların 99,9%-i "ani həzz" ehtiyacından əziyyət çəkdiyindən, onlar bu addımı atlayacaq və onu birbaşa öz standart brauzerində açacaqlar" dedi Garrubba. "Böyük texnologiyanın istədiyi aydındır və onlar çox güman ki, istədikləri məlumatları əldə edəcəklər."