Mga Key Takeaway
- Ipinakita ng isang security researcher na ang Facebook at Instagram app sa iOS ay naglalagay ng custom na code habang binubuksan ang mga link sa kanilang mga in-app na browser.
- Iniiwasan ng code ang mga proteksyon sa privacy ng Apple at posibleng magamit para subaybayan ka rin sa mga third-party na website.
- Iminumungkahi ng ibang mga eksperto sa seguridad na iwasan ang paggamit ng mga in-app na browser at asahan ang Apple na gagawa ng mga hakbang upang mapawalang-bisa ang solusyong ito.
Ipinakita ng bagong pananaliksik na ang karamihan sa mga app ay hindi gumagamit ng default na web browser ng smartphone upang magbukas ng mga link, na posibleng makaiwas sa mga feature ng seguridad at privacy ng operating system.
Isang security researcher, si Felix Krause, ay nagpakita na ang Meta ng Instagram at Facebook apps sa iOS ay nagdaragdag ng ilang JavaScript code sa mga third-party na website kapag binisita mo ang mga ito gamit ang custom na in-app na browser ng app. Ang mga in-app na browser ay nagbibigay-daan sa mga tao na bumisita sa mga website nang hindi umaalis sa kanilang mga app. Ang ipinasok na code ay nagbibigay-daan sa mga app na potensyal na subaybayan ang lahat ng iyong mga pakikipag-ugnayan sa mga panlabas na website, na lampasan ang tampok na App Tracking Transparency (ATT) ng iOS. Partikular na idinagdag ng Apple ang ATT upang pilitin ang mga developer ng app na kumuha ng pahintulot ng mga tao bago subaybayan ang data na nabuo ng mga third party.
"Hindi nakakagulat ang workaround ng Instagram," sabi ni Lior Yaari, CEO at co-founder ng cybersecurity startup Grip Security, sa Lifewire sa pamamagitan ng email. "Ang mga paghihigpit ng Apple ay nagbabanta sa ubod ng modelo ng negosyo ng kumpanya, kaya ito ay isang bagay ng pag-angkop [upang] mabuhay."
Pagpindot Kung Saan Ito Masakit
Hanggang inamin ng Meta na ang tampok na ATT ay nagkakahalaga ng humigit-kumulang $10 bilyon sa isang taon sa kita ng ad.
Sa kanyang pagsasaliksik, natuklasan ni Krause na kapag nag-click ang isang iOS user ng Facebook at Instagram app sa isang link sa loob ng mga social network na ito, nabubuksan ang mga ito sa in-app na browser.
Sa pinakamababa, hindi dapat gumagamit ang mga tao ng mga in-app na browser para maglagay ng anumang sensitibo o kumpidensyal na impormasyon.
Nagbabala siya na ang custom na JavaScript code na ini-inject ng in-app na browser ay nagbibigay-daan sa parehong app na potensyal na subaybayan ang bawat isang pakikipag-ugnayan sa mga external na website, kabilang ang lahat ng tina-type mo sa isang textbox tulad ng mga password at address.
"Sa 1 Bilyong aktibong Instagram user, ang dami ng data na makokolekta ng Instagram sa pamamagitan ng pag-inject ng tracking code sa bawat third party na website na binuksan mula sa Instagram at Facebook app ay napakalaking halaga," isinulat ni Krause.
Hindi nagulat ang pagtuklas kay George Gerchow, Chief Security Officer at Senior Vice President ng IT sa Sumo Logic.
Nakipag-usap sa Lifewire sa pamamagitan ng email, sinabi ni Gerchow na ang mga social media network ay mayroong ilan sa pinakamakapangyarihang artificial intelligence at machine learning algorithm sa mundo, na, kapag isinama sa kanilang walang hanggang pagtatangka na papanatilihin ang mga tao sa kanilang mga platform, ay nagiging isang tunay na panganib.
"Lubos akong naniniwala na alam na ito ng Apple ngunit ayaw ng publisidad," sabi ni Gerchow, at idinagdag, "Ang Safari ng [Apple] ay hindi rin ang pinakaligtas sa mga browser."
Hayaan ang Mga Laro Magsimula
Habang hindi masuri ni Krause ang code upang malaman ang tunay na layunin nito, ipinakita niya kung paano gumagana ang mga app sa mga paghihigpit sa ATT. Sa palagay ni Yaari, dapat nitong tumindig ang Apple, mapansin, at marahil ay magpatupad pa ng mga karagdagang paghihigpit upang limitahan ang pagsubaybay sa pamamagitan ng mga in-app na browser.
"Ito na ang simula ng larong pusa at daga na lalaruin ng dalawang kumpanya, na ang kalalabasan ay may malalaking epekto sa industriya," sabi ni Yaari.
Tom Garrubba, Direktor, Third-Party Risk Management Services sa Echelon Risk + Cyber, ay naniniwala na ang Apple ay lumilitaw na lubos na napabuti ang imahe nito sa pagtugon sa mga usapin sa privacy hindi lamang sa perception kundi sa pagkilos sa pamamagitan ng coding at deployment nito.
"Marahil ay mangangailangan ng class-action na demanda, masamang PR, at/o mabigat na multa para sa mga paglabag sa privacy para magising ang mga developer ng application [sa katotohanang] kailangan nilang gumawa ng 'privacy by design' sa lahat ng aspeto ng pagbuo ng code at paghahatid ng serbisyo, " sinabi ni Garrubba sa Lifewire sa pamamagitan ng email. "Hulaan ko na ang hindi pagkilos ng malaking tech ay hahantong dito sa isang demanda o mabigat na parusa na naghihintay na mangyari."
Samantala, para mapangalagaan ang iyong privacy, iminumungkahi ni Krause na lumabas sa in-app na browser at i-copy-paste lang ang URL para mabuksan sa isa pang external na browser.
"Sa pinakamababa, ang mga tao ay hindi dapat gumagamit ng mga in-app na browser upang magpasok ng anumang sensitibo o kumpidensyal na impormasyon, " iminumungkahi ni Yaari.
Gayunpaman, kinikilala ng aming mga eksperto na malamang na hindi mababago ng maraming tao ang kanilang pag-uugali dahil maaari nitong gawing mas abala ang karanasan ng user.
"Nakakalungkot, dahil 99.9% ng mga tao ang nagdurusa sa pangangailangan para sa 'instant na kasiyahan,' laktawan nila ang hakbang na ito at bubuksan ito mismo sa kanilang default na browser," sabi ni Garrubba. "Malinaw na ito ang gusto ng malaking tech, at malamang na makukuha nila ang data na gusto nila."