Key takeaways
- En sikkerhedsforsker har vist, at både Facebook- og Instagram-apps på iOS indsætter en tilpasset kode, mens de åbner links i deres browsere i appen.
- Koden omgår Apples privatlivsbeskyttelse og kan potentielt også bruges til at spore dig på tredjepartswebsteder.
- Andre sikkerhedseksperter foreslår, at du undgår brugen af browsere i appen og forventer, at Apple tager skridt til at annullere denne løsning.
Ny forskning har vist, at de fleste apps ikke bruger smartphonens standardwebbrowser til at åbne links, hvilket potentielt kan omgå operativsystemets sikkerheds- og privatlivsfunktioner.
En sikkerhedsforsker, Felix Krause, har vist, at Metas Instagram- og Facebook-apps på iOS tilføjer noget JavaScript-kode til tredjepartswebsteder, når du besøger dem ved hjælp af appens brugerdefinerede browser i appen. In-app browsere giver folk mulighed for at besøge websteder uden at forlade deres apps. Den indsatte kode giver apps mulighed for potentielt at spore alle dine interaktioner med eksterne websteder, uden at iOS' App Tracking Transparency (ATT) funktion. Apple tilføjede ATT specifikt for at tvinge app-udviklere til at indhente folks samtykke før sporing af data genereret af tredjeparter.
"Instagrams løsning er ikke overraskende," fort alte Lior Yaari, CEO og medstifter af cybersikkerhedsstartup Grip Security, til Lifewire via e-mail. "Apples restriktioner truer kernen i virksomhedens forretningsmodel, så det var et spørgsmål om at tilpasse sig [for at] overleve."
Slag hvor det gør ondt
Meta har åbent indrømmet, at ATT-funktionen kostede den omkring 10 milliarder USD om året i annonceindtægter.
Under sin research opdagede Krause, at når en iOS-bruger af Facebook- og Instagram-apps klikker på et link på disse sociale netværk, åbnes de i browseren i appen.
Folk bør som minimum ikke bruge browsere i appen til at indtaste følsomme eller fortrolige oplysninger.
Han advarede om, at den tilpassede JavaScript-kode, som browseren i appen indsætter, gør det muligt for begge apps potentielt at spore hver enkelt interaktion med eksterne websteder, inklusive alt, hvad du indtaster i en tekstboks, såsom adgangskoder og adresser.
"Med 1 milliard aktive Instagram-brugere er mængden af data, Instagram kan indsamle ved at injicere sporingskoden på hver tredjeparts hjemmeside, der åbnes fra Instagram & Facebook-appen, et svimlende beløb," skrev Krause.
Opdagelsen overrasker ikke George Gerchow, Chief Security Officer og Senior Vice President for IT hos Sumo Logic.
Gerchow t alte med Lifewire over e-mail og sagde, at sociale medier har nogle af de mest kraftfulde kunstige intelligens- og maskinlæringsalgoritmer i verden, som, når de kombineres med deres evige forsøg på at få folk til at blive på deres platforme, bliver en reel fare.
"Jeg er overbevist om, at Apple har kendt til dette, men ikke ønskede omtale," sagde Gerchow og tilføjede, "[Apples] Safari er heller ikke den sikreste browser."
Lad legene begynde
Mens Krause ikke kunne undersøge koden for at finde ud af dens egentlige hensigt, demonstrerede han, hvordan apps kunne omgå ATT-begrænsningerne. Yaari mener, at dette burde få Apple til at rejse sig, lægge mærke til det og måske endda implementere yderligere begrænsninger for at begrænse sporing gennem browsere i appen.
"Det er starten på katte- og mus-spillet, som de to virksomheder vil spille, og resultatet får store industriforgreninger," sagde Yaari.
Tom Garrubba, direktør, Third-Party Risk Management Services hos Echelon Risk + Cyber, mener, at Apple ser ud til i høj grad at have forbedret sit image med hensyn til at håndtere privatlivsspørgsmål, ikke kun i perception, men i handling via sin kodning og implementering.
"Måske vil det kræve et gruppesøgsmål, dårlig PR og/eller en stor bøde for krænkelser af privatlivets fred for applikationsudviklere at vågne op [til det faktum], at de er nødt til at bage 'privacy by design' ind i alle aspekter af kodeudvikling og servicelevering," fort alte Garrubba Lifewire via e-mail. "Jeg forudser, at manglende handling fra den store teknologis side vil føre dette til en retssag eller en stor bøde, der venter på at ske."
I mellemtiden, for at beskytte dit privatliv, foreslår Krause, at du afslutter browseren i appen og blot kopierer og indsætter URL'en for at åbne i en anden ekstern browser.
"I det mindste bør folk ikke bruge browsere i appen til at indtaste følsomme eller fortrolige oplysninger," foreslår Yaari.
Vores eksperter erkender dog, at det er usandsynligt, at mange mennesker rent faktisk vil ændre deres adfærd, da dette kan gøre brugeroplevelsen mere ubelejlig.
"Desværre, da 99,9% af mennesker lider af behovet for 'øjeblikkelig tilfredsstillelse', springer de dette trin over og åbner det direkte i deres standardbrowser," sagde Garrubba. "Dette er helt klart, hvad big tech ønsker, og de vil højst sandsynligt få de data, de ønsker."
