Asosiy takliflar
- Xavfsizlik boʻyicha tadqiqotchi iOS’dagi Facebook va Instagram ilovalari ilova ichidagi brauzerlarida havolalarni ochishda maxsus kod kiritishini koʻrsatdi.
- Kod Apple maxfiylik himoyasini chetlab oʻtadi va uchinchi tomon veb-saytlarida sizni kuzatish uchun ham ishlatilishi mumkin.
- Boshqa xavfsizlik mutaxassislari ilova ichidagi brauzerlardan foydalanmaslikni tavsiya qiladilar va Apple bu vaqtinchalik yechimni bekor qilish uchun choralar koʻrishini kutishadi.
Yangi tadqiqotlar shuni koʻrsatdiki, aksariyat ilovalar havolalarni ochish uchun smartfonning standart veb-brauzeridan foydalanmaydi, bu esa operatsion tizimning xavfsizlik va maxfiylik xususiyatlarini chetlab oʻtishi mumkin.
Xavfsizlik boʻyicha tadqiqotchi Feliks Krause, Meta’ning iOS’dagi Instagram va Facebook ilovalari ilovaning maxsus ilova brauzeri yordamida uchinchi tomon veb-saytlariga tashrif buyurganingizda baʼzi JavaScript kodlarini qoʻshishini koʻrsatdi. Ilova ichidagi brauzerlar odamlarga ilovalardan chiqmasdan veb-saytlarga kirish imkonini beradi. Kiritilgan kod ilovalarga iOS’ning ilovalarni kuzatish shaffofligi (ATT) funksiyasini chetlab o‘tib, tashqi veb-saytlar bilan barcha o‘zaro aloqalaringizni kuzatish imkonini beradi. Apple ilova ishlab chiqaruvchilarni uchinchi tomonlar tomonidan yaratilgan maʼlumotlarni kuzatishdan oldin odamlarning roziligini olishga majburlash uchun maxsus ATT qoʻshdi.
“Instagramning vaqtinchalik yechimi ajablanarli emas”, dedi Lior Yaari, Grip Security kiberxavfsizlik startapining bosh direktori va asoschisi, Lifewire’ga elektron pochta orqali. "Apple cheklovlari kompaniya biznes modelining asosiy qismiga tahdid soladi, shuning uchun bu omon qolish uchun moslashish masalasi edi."
Ogʻriyotgan joyga urish
Meta ATT funksiyasi reklamadan yiliga 10 milliard dollarga tushayotganini ochiq tan oldi.
Tadqiqotlari davomida Krause Facebook va Instagram ilovalarining iOS foydalanuvchisi ushbu ijtimoiy tarmoqlar ichidagi havolani bosganida, ular ilova ichidagi brauzerda ochilishini aniqladi.
Hech boʻlmaganda odamlar maxfiy yoki maxfiy maʼlumotlarni kiritish uchun ilova ichidagi brauzerlardan foydalanmasligi kerak.
U ilova ichidagi brauzer kiritadigan maxsus JavaScript kodi ikkala ilovaga ham tashqi veb-saytlar bilan har bir oʻzaro aloqani, jumladan, parol va manzillar kabi matn maydoniga kiritgan barcha narsalarni kuzatish imkonini berishi haqida ogohlantirdi.
"Instagramning 1 milliard faol foydalanuvchisi bilan Instagram va Facebook ilovasidan ochilgan har bir uchinchi tomon veb-saytiga kuzatuv kodini kiritish orqali Instagram to'plashi mumkin bo'lgan ma'lumotlar miqdori hayratlanarli darajada katta", deb yozgan Krause.
Kashfiyot Sumo Logic kompaniyasining xavfsizlik boʻyicha bosh direktori va IT boʻyicha katta vitse-prezidenti Jorj Gerxovni ajablantirmadi.
E-pochta orqali Lifewire bilan suhbatda Gerxovning ta'kidlashicha, ijtimoiy media tarmoqlari dunyodagi eng kuchli sun'iy intellekt va mashinani o'rganish algoritmlariga ega. haqiqiy xavf.
“Men Apple bu haqda bilganiga ishonaman, lekin ommaga oshkor etilishini istamadi”, dedi Gerxov va “[Apple’s] Safari ham eng xavfsiz brauzer emas.”
Oʻyinlar boshlansin
Krause kodni uning asl maqsadini aniqlash uchun tekshira olmasa-da, u ilovalarning ATT cheklovlari atrofida qanday ishlashini namoyish etdi. Yaarining fikricha, bu Apple’ni o‘rnidan turishi, e’tiborga olishi va hatto ilova ichidagi brauzerlar orqali kuzatuvni cheklash uchun qo‘shimcha cheklovlar joriy qilishi kerak.
"Bu ikki kompaniya o'ynaydigan mushuk va sichqon o'yinining boshlanishi, natijada sanoatning katta ta'siri bor", dedi Yaari.
Tom Garrubba, Echelon Risk + Cyber kompaniyasining uchinchi tomon risklarni boshqarish xizmatlari direktori fikricha, Apple maxfiylik masalalarini faqat idrok etishda emas, balki amalda ham kodlash va joylashtirish orqali hal qilish boʻyicha oʻz imidjini sezilarli darajada yaxshilaganga oʻxshaydi.
"Ehtimol, ilova ishlab chiquvchilari "dizayn bo'yicha maxfiylik"ni yaratishi kerakligidan uyg'onishlari uchun sinf da'vosi, yomon PR va/yoki maxfiylikni buzganliklari uchun katta miqdorda jarima talab qilinishi mumkin. kodni ishlab chiqish va xizmat ko'rsatishning barcha jihatlari, - dedi Garrubba Lifewire-ga elektron pochta orqali. "Men katta texnologiyalarning harakatsizligi bu sud jarayoniga yoki katta jarimaga olib kelishini taxmin qilaman."
Ayni paytda, maxfiyligingizni himoya qilish uchun Krause ilova ichidagi brauzerdan chiqishni va boshqa tashqi brauzerda ochish uchun URL manzilidan nusxa koʻchirishni tavsiya qiladi.
"Hech bo'lmaganda, odamlar hech qanday nozik yoki maxfiy ma'lumotlarni kiritish uchun ilova ichidagi brauzerlardan foydalanmasligi kerak", - deydi Yaari.
Biroq, bizning mutaxassislarimiz tan olishlaricha, koʻpchilik oʻz xatti-harakatlarini oʻzgartirishi dargumon, chunki bu foydalanuvchi tajribasini yanada noqulay qilishi mumkin.
"Afsuski, odamlarning 99,9 foizi "zudlik bilan qoniqish" ehtiyojidan aziyat chekadi, ular bu bosqichni o'tkazib yuboradilar va uni to'g'ridan-to'g'ri standart brauzerida ochadilar ", dedi Garrubba. “Katta texnologiyalar aynan shu narsani xohlaydi va ular oʻzlari xohlagan maʼlumotlarni olishlari mumkin.”