Հիմնական տանողներ
- Անվտանգության հետազոտողն ապացուցել է, որ iOS-ի և՛ Facebook-ի, և՛ Instagram-ի հավելվածները տեղադրում են հատուկ կոդ՝ իրենց ներծրագրային բրաուզերներում հղումներ բացելիս:
- Կոդը շրջանցում է Apple-ի գաղտնիության պաշտպանությունը և կարող է օգտագործվել ձեզ հետևելու նաև երրորդ կողմի կայքերում:
- Անվտանգության այլ փորձագետներ առաջարկում են խուսափել ներծրագրային բրաուզերների օգտագործումից և ակնկալում են, որ Apple-ը քայլեր կձեռնարկի այս լուծումը չեղարկելու համար:
Նոր հետազոտությունը ցույց է տվել, որ հավելվածների մեծ մասը չի օգտագործում սմարթֆոնի լռելյայն վեբ բրաուզերը հղումներ բացելու համար, ինչը կարող է շրջանցել օպերացիոն համակարգի անվտանգության և գաղտնիության առանձնահատկությունները:
Անվտանգության հետազոտող Ֆելիքս Քրաուզեն ցույց է տվել, որ Meta-ի Instagram-ը և Facebook-ի հավելվածները iOS-ում ավելացնում են JavaScript-ի որոշ կոդ երրորդ կողմի կայքերին, երբ այցելում եք դրանք՝ օգտագործելով հավելվածի հատուկ ներծրագրային բրաուզերը: Ներծրագրային բրաուզերները թույլ են տալիս մարդկանց այցելել կայքեր՝ առանց իրենց հավելվածները լքելու: Տեղադրված կոդը թույլ է տալիս հավելվածներին պոտենցիալ հետևել ձեր բոլոր փոխազդեցություններին արտաքին կայքերի հետ՝ շրջանցելով iOS-ի App Tracking Transparency (ATT) գործառույթը: Apple-ը հատուկ ավելացրել է ATT-ը՝ հավելվածների մշակողներին ստիպելու համար ստանալ մարդկանց համաձայնությունը՝ նախքան երրորդ անձանց կողմից ստեղծված տվյալները հետևելը:
«Instagram-ի լուծումը զարմանալի չէ», - Lifewire-ին էլփոստով ասաց Lior Yaari-ն, կիբերանվտանգության ստարտափի գործադիր տնօրեն և Grip Security-ի համահիմնադիրը: «Apple-ի սահմանափակումները սպառնում են ընկերության բիզնես մոդելի հիմքին, ուստի անհրաժեշտ էր հարմարվել գոյատևմանը»:
Հարվածում այնտեղ, որտեղ ցավում է
Meta-ն բացահայտորեն խոստովանել է, որ ATT գործառույթն իրեն արժենում է տարեկան մոտ 10 միլիարդ դոլար գովազդից:
Իր հետազոտության ընթացքում Քրաուզեն հայտնաբերեց, որ երբ Facebook և Instagram հավելվածների iOS օգտատերը սեղմում է այս սոցիալական ցանցերի հղումը, դրանք բացվում են ներծրագրային դիտարկիչում:
Առնվազն մարդիկ չպետք է օգտագործեն ներծրագրային բրաուզերներ՝ որևէ զգայուն կամ գաղտնի տեղեկատվություն մուտքագրելու համար:
Նա զգուշացրեց, որ ներծրագրային դիտարկիչի կողմից ներարկվող հատուկ JavaScript կոդը հնարավորություն է տալիս երկու հավելվածներին հետևել արտաքին կայքերի հետ յուրաքանչյուր փոխազդեցությանը, ներառյալ այն ամենը, ինչ դուք մուտքագրում եք տեքստային տուփում, օրինակ՝ գաղտնաբառերը և հասցեները::
«Instagram-ի 1 միլիարդ ակտիվ օգտատերերի հետ Instagram-ի տվյալների քանակը, որը կարող է հավաքել Instagram-ը` ներարկելով հետևելու ծածկագիրը Instagram և Facebook հավելվածից բացված յուրաքանչյուր երրորդ կողմի վեբկայքում, ապշեցուցիչ գումար է», - գրել է Քրաուզեն::
Բացահայտումը չի զարմացնում Ջորջ Գերչովին՝ անվտանգության գլխավոր տնօրեն և Sumo Logic-ի ՏՏ ավագ փոխնախագահ:
Խոսելով Lifewire-ի հետ էլեկտրոնային փոստով՝ Գերչովն ասաց, որ սոցիալական մեդիա ցանցերն ունեն աշխարհում արհեստական ինտելեկտի և մեքենայական ուսուցման ամենահզոր ալգորիթմները, որոնք, երբ զուգակցվում են մարդկանց իրենց հարթակներում մնալու իրենց հավերժական փորձի հետ, դառնում են. իրական վտանգ.
«Ես խորապես հավատում եմ, որ Apple-ը գիտեր այս մասին, բայց չէր ուզում հրապարակայնությունը», - ասաց Գերչովը ՝ հավելելով, որ «[Apple's] Safari-ն նույնպես ամենաանվտանգը չէ բրաուզերներից»:
Թող խաղերը սկսվեն
Մինչ Քրաուզեն չկարողացավ ուսումնասիրել կոդը՝ պարզելու դրա իրական նպատակը, նա ցույց տվեց, թե ինչպես կարող են հավելվածները աշխատել ATT սահմանափակումների շուրջ: Յաարին կարծում է, որ դա պետք է ստիպի Apple-ին կանգնել, ուշադրություն դարձնել և, հնարավոր է, նույնիսկ լրացուցիչ սահմանափակումներ կիրառել՝ ներծրագրային բրաուզերների միջոցով հետևելը սահմանափակելու համար:
«Կատուի և մկնիկի խաղի սկիզբն է, որը կխաղան երկու ընկերությունները, որի արդյունքը կունենա արդյունաբերության հիմնական հետևանքներ», - ասաց Յաարին:
Թոմ Գարուբբան՝ Echelon Risk + Cyber-ի Երրորդ կողմի ռիսկերի կառավարման ծառայությունների տնօրենը, կարծում է, որ Apple-ը, ըստ երևույթին, զգալիորեն բարելավել է իր պատկերը գաղտնիության հարցերին անդրադառնալու ոչ միայն ընկալման, այլ նաև գործողությունների միջոցով՝ իր կոդավորման և տեղակայման միջոցով:
«Հնարավոր է, որ կպահանջվի կոլեկտիվ հայց, վատ PR և/կամ զգալի տուգանք գաղտնիության խախտման համար, որպեսզի հավելվածների մշակողները արթնանան [այն փաստից], որ նրանք պետք է թխեն «գաղտնիությունը ըստ դիզայնի»: կոդի մշակման և ծառայությունների մատուցման բոլոր ասպեկտների մեջ», - ասաց Գարուբբան Lifewire-ին էլ. «Ես կանխատեսում եմ, որ խոշոր տեխնոլոգիաների կողմից անգործությունը դա կհանգեցնի դատական գործի կամ լուրջ տույժի, որը սպասում է տեղի ունենալ»:
Միևնույն ժամանակ, ձեր գաղտնիությունը պաշտպանելու համար, Krause-ն առաջարկում է դուրս գալ հավելվածի զննարկիչից և պարզապես պատճենել URL-ը՝ մեկ այլ արտաքին դիտարկիչում բացելու համար:
«Առնվազն, մարդիկ չպետք է օգտագործեն ներծրագրային բրաուզերներ որևէ զգայուն կամ գաղտնի տեղեկատվություն մուտքագրելու համար», - առաջարկում է Yaari:
Սակայն, մեր փորձագետները ընդունում են, որ քիչ հավանական է, որ շատ մարդիկ իրականում փոխեն իրենց վարքագիծը, քանի որ դա կարող է ավելի անհարմար դարձնել օգտվողի փորձը:
«Ցավոք, քանի որ մարդկանց 99.9%-ը տառապում է «ակնթարթային հաճույք ստանալու» անհրաժեշտությունից, նրանք բաց կթողնեն այս քայլը և կբացեն այն հենց իրենց լռելյայն դիտարկիչում», - ասաց Գարուբբան: «Ակնհայտորեն սա այն է, ինչ ցանկանում է մեծ տեխնոլոգիան, և նրանք, ամենայն հավանականությամբ, կստանան իրենց ուզած տվյալները»:
