მთავარი წაღებები
- უსაფრთხოების მკვლევარმა აჩვენა, რომ ფეისბუქის და ინსტაგრამის აპები iOS-ზე ათავსებენ მორგებულ კოდს აპს-შიდა ბრაუზერებში ბმულების გახსნისას.
- კოდი გვერდს უვლის Apple-ის კონფიდენციალურობის დაცვას და პოტენციურად შეიძლება გამოყენებულ იქნას თქვენს თვალყურის დევნებისთვის მესამე მხარის ვებსაიტებზეც.
- უსაფრთხოების სხვა ექსპერტები ვარაუდობენ, რომ თავი აარიდოთ აპს-შიდა ბრაუზერების გამოყენებას და მოელიან, რომ Apple მიიღებს ნაბიჯებს ამ გამოსავლის გასაუქმებლად.
ახალმა კვლევამ აჩვენა, რომ აპლიკაციების უმეტესობა არ იყენებს სმარტფონის ნაგულისხმევ ვებ ბრაუზერს ბმულების გასახსნელად, რამაც შესაძლოა გვერდი აუარა ოპერაციული სისტემის უსაფრთხოებისა და კონფიდენციალურობის ფუნქციებს.
უსაფრთხოების მკვლევარმა, ფელიქს კრაუზემ, აჩვენა, რომ Meta-ს Instagram-ისა და Facebook-ის აპლიკაციები iOS-ზე ამატებენ JavaScript-ის ზოგიერთ კოდს მესამე მხარის ვებსაიტებზე, როდესაც მათ ეწვევით აპის მორგებული აპს-შიდა ბრაუზერის გამოყენებით. აპს-შიდა ბრაუზერები საშუალებას აძლევს ხალხს ეწვიონ ვებგვერდებს აპებიდან გაუსვლელად. ჩასმული კოდი საშუალებას აძლევს აპებს პოტენციურად თვალყური ადევნონ თქვენს ყველა ინტერაქციას გარე ვებსაიტებთან, iOS-ის აპების თვალთვალის გამჭვირვალობის (ATT) ფუნქციის გვერდის ავლით. Apple-მა დაამატა ATT სპეციალურად, რათა აიძულოს აპლიკაციების დეველოპერები მიიღონ ხალხის თანხმობა მესამე მხარის მიერ გენერირებული მონაცემების თვალყურის დევნებამდე.
"ინსტაგრამის გამოსავალი არ არის გასაკვირი", - განუცხადა Lifewire-ს ელექტრონული ფოსტით Lior Yaari, აღმასრულებელი დირექტორი და კიბერუსაფრთხოების სტარტაპის Grip Security-ის თანადამფუძნებელი. "Apple-ის შეზღუდვები საფრთხეს უქმნის კომპანიის ბიზნეს მოდელის ბირთვს, ამიტომ გადარჩენისთვის ადაპტაციის საკითხი იყო."
დარტყმა იქ, სადაც მტკივა
მეტამ ღიად აღიარა, რომ ATT ფუნქცია მას წელიწადში დაახლოებით 10 მილიარდი დოლარი უჯდებოდა რეკლამის შემოსავალში.
მისი კვლევის დროს კრაუზემ აღმოაჩინა, რომ როდესაც Facebook-ისა და Instagram-ის აპების iOS მომხმარებელი დააწკაპუნებს ბმულს ამ სოციალურ ქსელებში, ისინი იხსნება აპს-შიდა ბრაუზერში.
მინიმუმ, ადამიანებმა არ უნდა გამოიყენონ აპს-შიდა ბრაუზერები რაიმე მგრძნობიარე ან კონფიდენციალური ინფორმაციის შესაყვანად.
მან გააფრთხილა, რომ მორგებული JavaScript კოდი, რომელსაც აპს-შიდა ბრაუზერი უშვებს, საშუალებას აძლევს ორივე აპს პოტენციურად თვალყური ადევნოს თითოეულ ინტერაქციას გარე ვებსაიტებთან, მათ შორის ყველაფერს, რასაც წერთ ტექსტურ ყუთში, როგორიცაა პაროლები და მისამართები.
"ინსტაგრამის 1 მილიარდი აქტიური მომხმარებლით, ინსტაგრამის მიერ ინსტაგრამისა და ფეისბუქის აპიდან გახსნილი ყოველი მესამე მხარის ვებსაიტზე თრექინგის კოდის შეყვანით, ინსტაგრამის მონაცემების რაოდენობა გასაოცარი თანხაა", - წერს კრაუზე..
აღმოჩენა არ გააკვირვებს ჯორჯ გერჩოუს, უსაფრთხოების მთავარ ოფიცერს და Sumo Logic-ის IT-ის უფროს ვიცე-პრეზიდენტს.
Lifewire-თან ელექტრონული ფოსტით საუბრისას გერჩოვმა თქვა, რომ სოციალურ მედია ქსელებს აქვთ მსოფლიოში ყველაზე მძლავრი ხელოვნური ინტელექტისა და მანქანათმცოდნეობის ალგორითმი, რომელიც, როდესაც შერწყმულია მათ მარადიულ მცდელობასთან, აიძულონ ადამიანები დარჩნენ თავიანთ პლატფორმებზე, ხდება რეალური საფრთხე.
"მე მტკიცედ მჯერა, რომ Apple-მა იცოდა ამის შესახებ, მაგრამ არ სურდა საჯაროობა", - თქვა გერჩოვმა და დასძინა, რომ "[Apple's] Safari არც არის ყველაზე უსაფრთხო ბრაუზერებს შორის."
დაე, თამაშები დაიწყოს
მიუხედავად იმისა, რომ კრაუზმა ვერ შეისწავლა კოდი მისი რეალური განზრახვის გასარკვევად, მან აჩვენა, თუ როგორ შეუძლიათ აპებს იმუშაონ ATT შეზღუდვების გარშემო. იაარი თვლის, რომ ამან უნდა აიძულოს Apple-ი წამოდგეს, გაითვალისწინოს და შესაძლოა დანერგოს დამატებითი შეზღუდვები აპს-შიდა ბრაუზერების საშუალებით თვალთვალის შესაზღუდად.
"ეს არის კატისა და თაგვის თამაშის დასაწყისი, რომელსაც ორი კომპანია ითამაშებს და შედეგს ექნება დიდი ინდუსტრიის შედეგები," თქვა იაარიმ.
ტომ გარუბბა, მესამე მხარის რისკების მართვის სერვისების დირექტორი Echelon Risk + Cyber-ში, თვლის, რომ Apple-მა, როგორც ჩანს, მნიშვნელოვნად გააუმჯობესა თავისი იმიჯი კონფიდენციალურობის საკითხებთან დაკავშირებით არა მხოლოდ აღქმაში, არამედ ქმედებებში მისი კოდირებისა და დანერგვის გზით.
"შესაძლოა დასჭირდეს კლასობრივი სარჩელი, ცუდი PR და/ან სოლიდური ჯარიმა კონფიდენციალურობის დარღვევისთვის აპლიკაციის დეველოპერებისთვის, რათა გაიღვიძონ [იმ ფაქტზე], რომ მათ უნდა გამოაცხონ "კონფიდენციალურობა დიზაინის მიხედვით". კოდის შემუშავებისა და სერვისის მიწოდების ყველა ასპექტში,”- განუცხადა გარუბამ Lifewire-ს ელექტრონული ფოსტით.”მე ვარაუდობ, რომ დიდი ტექნოლოგიების უმოქმედობა გამოიწვევს ამას სასამართლოში ან სოლიდური ჯარიმის მოლოდინში.”
ამავდროულად, თქვენი კონფიდენციალურობის დასაცავად, კრაუზე გირჩევთ გახვიდეთ აპს-შიდა ბრაუზერიდან და უბრალოდ დააკოპიროთ URL-ი სხვა გარე ბრაუზერში გასახსნელად.
"მინიმუმ, ადამიანებმა არ უნდა გამოიყენონ აპს-შიდა ბრაუზერები რაიმე სენსიტიური ან კონფიდენციალური ინფორმაციის შესაყვანად," ვარაუდობს Yaari.
თუმცა, ჩვენი ექსპერტები აღიარებენ, რომ ნაკლებად სავარაუდოა, რომ ბევრმა ადამიანმა შეცვალოს თავისი ქცევა, რადგან ამან შეიძლება მომხმარებლის გამოცდილება უფრო მოუხერხებელი გახადოს.
"სამწუხაროდ, ვინაიდან ადამიანების 99.9% განიცდის "მყისიერი დაკმაყოფილების" მოთხოვნილებას, ისინი გამოტოვებენ ამ ნაბიჯს და გახსნიან მას პირდაპირ ნაგულისხმევ ბრაუზერში", - თქვა გარუბამ. "ეს აშკარად სურს დიდ ტექნოლოგიებს და ისინი, სავარაუდოდ, მიიღებენ მონაცემებს, რაც სურთ."
