מזונות חשובים
- חוקר אבטחה הוכיח שגם אפליקציות פייסבוק וגם אינסטגרם ב-iOS מכניסות קוד מותאם אישית בזמן פתיחת קישורים בדפדפנים בתוך האפליקציה שלהם.
- הקוד עוקף את הגנת הפרטיות של אפל ואפשר להשתמש בו כדי לעקוב אחריך גם באתרי צד שלישי.
- מומחי אבטחה אחרים מציעים להימנע משימוש בדפדפנים בתוך האפליקציה ומצפים מאפל לנקוט בצעדים כדי לבטל את הדרך לעקיפת הבעיה.
מחקר חדש הראה שרוב האפליקציות אינן משתמשות בדפדפן האינטרנט המוגדר כברירת מחדל של הטלפון החכם כדי לפתוח קישורים, מה שעלול לעקוף את תכונות האבטחה והפרטיות של מערכת ההפעלה.
חוקר אבטחה, פליקס קראוזה, הראה שיישומי Instagram ו-Facebook של Meta ב-iOS מוסיפים קוד JavaScript לאתרי צד שלישי כשאתה מבקר בהם באמצעות דפדפן בתוך האפליקציה המותאם אישית של האפליקציה. דפדפנים בתוך האפליקציה מאפשרים לאנשים לבקר באתרים מבלי לעזוב את האפליקציות שלהם. הקוד שהוכנס מאפשר לאפליקציות לעקוב בפוטנציה אחר כל האינטראקציות שלך עם אתרים חיצוניים, תוך עקיפת תכונת השקיפות של מעקב אפליקציות (ATT) של iOS. אפל הוסיפה ATT במיוחד כדי לאלץ מפתחי אפליקציות לקבל הסכמת אנשים לפני מעקב אחר נתונים שנוצרו על ידי צדדים שלישיים.
"הדרך לעקיפת אינסטגרם לא מפתיעה", אמר ליאור יערי, מנכ"ל ומייסד שותף של הסטארט-אפ Grip Security בתחום אבטחת הסייבר, ל-Lifewire באימייל. "ההגבלות של אפל מאיימות על הליבה של המודל העסקי של החברה, אז זה היה עניין של הסתגלות [כדי] לשרוד."
להכות איפה שזה כואב
Meta הודתה בגלוי שתכונת ה-ATT עולה לה כ-10 מיליארד דולר בשנה בהכנסות ממודעות.
במהלך המחקר שלו, קראוזה גילה שכאשר משתמש iOS באפליקציות פייסבוק ואינסטגרם לוחץ על קישור ברשתות חברתיות אלו, הם נפתחים בדפדפן בתוך האפליקציה.
לכל הפחות, אנשים לא צריכים להשתמש בדפדפנים בתוך האפליקציה כדי להזין מידע רגיש או סודי.
הוא הזהיר שקוד ה-JavaScript המותאם אישית שהדפדפן בתוך האפליקציה מחדיר מאפשר לשתי האפליקציות לעקוב בפוטנציה אחר כל אינטראקציה עם אתרים חיצוניים, כולל כל מה שאתה מקליד בתיבת טקסט כמו סיסמאות וכתובות.
"עם 1 מיליארד משתמשי אינסטגרם פעילים, כמות הנתונים שאינסטגרם יכולה לאסוף על ידי הזרקת קוד המעקב לכל אתר של צד שלישי שנפתח מאפליקציית אינסטגרם ופייסבוק היא כמות מדהימה", כתב קראוזה.
הגילוי לא מפתיע את ג'ורג' גרכוב, קצין אבטחה ראשי וסגן נשיא בכיר ל-IT ב-Sumo Logic.
שדיבר עם Lifewire בדוא ל, אמר גרכוב שלרשתות המדיה החברתית יש כמה מהאלגוריתמים החזקים ביותר של בינה מלאכותית ולמידת מכונה בעולם, שבשילוב עם הניסיון הנצחי שלהם לגרום לאנשים להישאר בפלטפורמות שלהם, הופכים סכנה ממשית.
"אני מאוד מאמין שאפל ידעה על זה אבל לא רצתה את הפרסום", אמר גרכוב והוסיף, "גם ספארי של [אפל] אינו הבטוח מבין הדפדפנים."
תנו למשחקים להתחיל
למרות שקראוזה לא הצליח לבחון את הקוד כדי להבין את כוונתו האמיתית, הוא הוכיח כיצד אפליקציות יכולות לעקוף את הגבלות ה-ATT. יערי חושב שזה צריך לגרום לאפל לקום, לשים לב ואולי אפילו ליישם הגבלות נוספות כדי להגביל מעקב דרך דפדפנים בתוך האפליקציה.
"זו ההתחלה של משחק החתול והעכבר ששתי החברות ישחקו, ולתוצאה יש השלכות ענפיות גדולות", אמר יערי.
טום גארובה, מנהל שירותי ניהול סיכונים של צד שלישי ב-Echelon Risk + Cyber, מאמין שנראה שאפל שיפרה מאוד את התדמית שלה בטיפול בענייני פרטיות לא רק בתפיסה אלא בפעולה באמצעות הקידוד והפריסה שלה.
"אולי יידרש תביעה ייצוגית, יחסי ציבור גרועים ו/או קנס כבד על הפרות פרטיות כדי שמפתחי אפליקציות יתעוררו [לעובדה] שהם צריכים לאפות 'פרטיות בעיצוב' בכל ההיבטים של פיתוח קוד ואספקת שירות", אמר גארובה ל-Lifewire בדוא"ל. "אני צופה שחוסר מעש של טכנולוגיה גדולה תוביל את זה לתביעה משפטית או עונש גבוה שמחכה לקרות."
בינתיים, כדי לשמור על פרטיותך, קראוזה מציע לצאת מהדפדפן בתוך האפליקציה ופשוט להעתיק ולהדביק את כתובת האתר כדי לפתוח בדפדפן חיצוני אחר.
"לכל הפחות, אנשים לא צריכים להשתמש בדפדפנים בתוך האפליקציה כדי להזין מידע רגיש או סודי", מציע יערי.
עם זאת, המומחים שלנו מכירים בכך שאין זה סביר שאנשים רבים ישנו את התנהגותם שכן הדבר עלול להפוך את חווית המשתמש לא נוחה יותר.
"למרבה הצער, מכיוון ש-99.9% מהבני אדם סובלים מהצורך ב'סיפוק מיידי', הם ידלגו על שלב זה ויפתחו אותו ישירות בדפדפן ברירת המחדל שלהם", אמר גארובה. "זה ברור מה שהטכנולוגיה הגדולה רוצה, וסביר להניח שהם יקבלו את הנתונים שהם רוצים."
