Önemli Bilgiler
- Bir güvenlik araştırmacısı, iOS'taki hem Facebook hem de Instagram uygulamalarının uygulama içi tarayıcılarında bağlantıları açarken özel bir kod eklediğini gösterdi.
- Kod, Apple'ın gizlilik korumalarını atlatır ve potansiyel olarak sizi üçüncü taraf web sitelerinde izlemek için kullanılabilir.
- Diğer güvenlik uzmanları, uygulama içi tarayıcıların kullanılmasından kaçınılmasını öneriyor ve Apple'ın bu geçici çözümü geçersiz kılmak için adımlar atmasını bekliyor.
Yeni araştırma, çoğu uygulamanın bağlantıları açmak için akıllı telefonun varsayılan web tarayıcısını kullanmadığını ve bu durumun işletim sisteminin güvenlik ve gizlilik özelliklerini potansiyel olarak atlatabileceğini gösterdi.
Güvenlik araştırmacısı Felix Krause, Meta'nın iOS'taki Instagram ve Facebook uygulamalarının, uygulamanın özel uygulama içi tarayıcısını kullanarak onları ziyaret ettiğinizde üçüncü taraf web sitelerine bazı JavaScript kodları eklediğini göstermiştir. Uygulama içi tarayıcılar, kullanıcıların uygulamalarından ayrılmadan web sitelerini ziyaret etmelerine olanak tanır. Eklenen kod, uygulamaların, iOS'un Uygulama İzleme Şeffaflığı (ATT) özelliğini atlayarak harici web siteleriyle olan tüm etkileşimlerinizi potansiyel olarak izlemesine olanak tanır. Apple, uygulama geliştiricilerini üçüncü taraflarca oluşturulan verileri izlemeden önce insanların onayını almaya zorlamak için özel olarak ATT'yi ekledi.
Siber güvenlik girişimi Grip Security'nin CEO'su ve kurucu ortağı Lior Yaari, Lifewire'a e-posta yoluyla "Instagram'ın geçici çözümü şaşırtıcı değil" dedi. "Apple'ın kısıtlamaları şirketin iş modelinin özünü tehdit ediyor, bu yüzden mesele hayatta kalmak için uyum sağlamaktı."
Acıyan Yere Vurmak
Meta, ATT özelliğinin reklam gelirinde yılda yaklaşık 10 milyar dolara mal olduğunu açıkça kabul etti.
Araştırması sırasında Krause, Facebook ve Instagram uygulamalarının bir iOS kullanıcısının bu sosyal ağlardaki bir bağlantıyı tıkladığında uygulama içi tarayıcıda açıldığını keşfetti.
Hiç kimse, hassas veya gizli bilgileri girmek için uygulama içi tarayıcıları kullanmamalıdır.
Uygulama içi tarayıcının enjekte ettiği özel JavaScript kodunun, her iki uygulamanın da, şifreler ve adresler gibi bir metin kutusuna yazdığınız her şey dahil olmak üzere harici web siteleriyle her etkileşimi potansiyel olarak izlemesine olanak tanıdığı konusunda uyardı.
"1 Milyar aktif Instagram kullanıcısı ile Instagram ve Facebook uygulamasından açılan her üçüncü taraf web sitesine izleme kodunu enjekte ederek Instagram'ın toplayabileceği veri miktarı şaşırtıcı bir miktar" diye yazdı Krause.
Bu keşif, Sumo Logic'te Güvenlik Baş Sorumlusu ve BT Kıdemli Başkan Yardımcısı George Gerchow'u şaşırtmadı.
Lifewire'a e-posta üzerinden konuşan Gerchow, sosyal medya ağlarının dünyadaki en güçlü yapay zeka ve makine öğrenimi algoritmalarından bazılarına sahip olduğunu söyledi. gerçek bir tehlike.
"Apple'ın bunu bildiğine ancak reklamı istemediğine kuvvetle inanıyorum" diyen Gerchow, "[Apple'ın] Safari'si de en güvenli tarayıcı değil."
Oyunlar Başlasın
Krause, kodun gerçek amacını anlamak için inceleyemese de, uygulamaların ATT kısıtlamaları etrafında nasıl çalışabileceğini gösterdi. Yaari, bunun Apple'ı ayağa kaldırması, dikkat çekmesi ve hatta uygulama içi tarayıcılar aracılığıyla izlemeyi sınırlamak için ek kısıtlamalar getirmesi gerektiğini düşünüyor.
"Bu, iki şirketin oynayacağı kedi ve fare oyununun başlangıcı ve sonucun endüstride önemli sonuçları olacak," dedi Yaari.
Echelon Risk + Cyber'de Üçüncü Taraf Risk Yönetim Hizmetleri Direktörü Tom Garrubba, Apple'ın yalnızca algılamada değil, kodlama ve dağıtım yoluyla gizlilik konularını ele alma konusundaki imajını büyük ölçüde geliştirdiğine inanıyor.
"Belki de uygulama geliştiricilerinin 'tasarım gereği gizlilik' yapmaları gerektiğini [gerçeğine] uyandırmaları için toplu dava, kötü PR ve/veya gizlilik ihlalleri için ağır bir para cezası gerekebilir Garrubba, Lifewire'a e-posta yoluyla söyledi. "Büyük teknolojinin eylemsizliğinin bunu bir davaya veya gerçekleşmeyi bekleyen ağır cezalara yol açacağını tahmin ediyorum."
Bu arada, gizliliğinizi korumak için Krause, uygulama içi tarayıcıdan çıkmanızı ve başka bir harici tarayıcıda açmak için URL'yi kopyalayıp yapıştırmanızı önerir.
"İnsanlar en azından hassas veya gizli bilgileri girmek için uygulama içi tarayıcıları kullanmamalıdır" diyor Yaari.
Ancak, uzmanlarımız, kullanıcı deneyimini daha rahatsız edici hale getirebileceğinden, pek çok kişinin davranışını değiştirmesinin pek olası olmadığını kabul ediyor.
"Ne yazık ki, insanların %99,9'u 'anlık tatmin' ihtiyacından muzdarip olduğundan, bu adımı atlayıp doğrudan varsayılan tarayıcılarında açacaklar," dedi Garrubba. "Açıkça büyük teknolojinin istediği şey bu ve büyük olasılıkla istedikleri verileri alacaklar."
