Key takeaways
- En säkerhetsforskare har visat att både Facebook- och Instagram-appar på iOS infogar en anpassad kod samtidigt som de öppnar länkar i sina webbläsare i appen.
- Koden kringgår Apples integritetsskydd och kan potentiellt användas för att spåra dig även på tredjepartswebbplatser.
- Andra säkerhetsexperter föreslår att man undviker att använda webbläsare i appar och förväntar sig att Apple vidtar åtgärder för att omintetgöra denna lösning.
Ny forskning har visat att de flesta appar inte använder smarttelefonens standardwebbläsare för att öppna länkar, vilket potentiellt skulle kunna kringgå operativsystemets säkerhets- och sekretessfunktioner.
En säkerhetsforskare, Felix Krause, har visat att Metas Instagram- och Facebook-appar på iOS lägger till viss JavaScript-kod till tredje parts webbplatser när du besöker dem med appens anpassade webbläsare i appen. Webbläsare i appar tillåter människor att besöka webbplatser utan att lämna sina appar. Den infogade koden gör det möjligt för apparna att spåra alla dina interaktioner med externa webbplatser, och kringgå iOS ATT-funktion (App Tracking Transparency). Apple lade till ATT specifikt för att tvinga apputvecklare att få människors samtycke innan de spårar data som genererats av tredje part.
"Instagrams lösning är inte förvånande", sa Lior Yaari, VD och medgrundare av cybersäkerhetsstartupen Grip Security, till Lifewire via e-post. "Apples restriktioner hotar kärnan i företagets affärsmodell, så det gällde att anpassa sig [för att] överleva."
Slag där det gör ont
Meta har öppet erkänt att ATT-funktionen kostade den cirka 10 miljarder dollar per år i annonsintäkter.
Under sin forskning upptäckte Krause att när en iOS-användare av Facebook- och Instagram-apparna klickar på en länk i dessa sociala nätverk, öppnas de i webbläsaren i appen.
Åtminstone bör personer inte använda webbläsare i appar för att ange någon känslig eller konfidentiell information.
Han varnade för att den anpassade JavaScript-koden som webbläsaren i appen injicerar gör att båda apparna kan spåra varje enskild interaktion med externa webbplatser, inklusive allt du skriver i en textruta som lösenord och adresser.
"Med 1 miljard aktiva Instagram-användare är mängden data Instagram kan samla in genom att injicera spårningskoden på varje tredje parts webbplats som öppnas från Instagram & Facebook-appen en svindlande mängd", skrev Krause.
Upptäckten förvånar inte George Gerchow, Chief Security Officer och Senior Vice President of IT på Sumo Logic.
Gerchow pratade med Lifewire via e-post och sa att sociala medier har några av de mest kraftfulla algoritmerna för artificiell intelligens och maskininlärning i världen, som, i kombination med deras eviga försök att få människor att stanna på sina plattformar, blir en verklig fara.
"Jag är övertygad om att Apple har känt till detta men inte ville ha publicitet", sa Gerchow och tillade, "[Apples] Safari är inte heller den säkraste av webbläsare."
Låt spelen börja
Medan Krause inte kunde undersöka koden för att ta reda på dess verkliga avsikt, demonstrerade han hur appar kunde kringgå ATT-begränsningarna. Yaari tycker att detta borde få Apple att stå upp, ta hänsyn och kanske till och med införa ytterligare begränsningar för att begränsa spårning genom webbläsare i appar.
"Det är början på katt- och råttspelet som de två företagen kommer att spela, med resultatet som får stora konsekvenser för industrin", sa Yaari.
Tom Garrubba, direktör, Third-Party Risk Management Services på Echelon Risk + Cyber, anser att Apple tycks ha förbättrat sin image avsevärt när det gäller att ta itu med integritetsfrågor, inte bara i uppfattning utan i handling via sin kodning och implementering.
"Kanske det kommer att krävas en grupptalan, dålig PR och/eller en rejäl böter för integritetsintrång för programutvecklare att vakna upp [till det faktum] att de måste skapa "privacy by design" in i alla aspekter av kodutveckling och tjänsteleverans, sa Garrubba till Lifewire via e-post. "Jag förutspår att den stora teknikens passivitet kommer att leda till en rättegång eller rejäla straffavgifter som väntar på att hända."
Under tiden, för att skydda din integritet, föreslår Krause att du avslutar webbläsaren i appen och helt enkelt kopierar och klistrar in webbadressen för att öppna i en annan extern webbläsare.
"Personer bör åtminstone inte använda webbläsare i appar för att ange någon känslig eller konfidentiell information", föreslår Yaari.
Våra experter erkänner dock att det är osannolikt att många människor faktiskt kommer att ändra sitt beteende eftersom detta kan göra användarupplevelsen mer obekväm.
"Tyvärr, eftersom 99,9% av människor lider av behovet av 'omedelbar tillfredsställelse', kommer de att hoppa över det här steget och öppna det direkt i sin standardwebbläsare", sa Garrubba. "Det här är helt klart vad stora tekniker vill ha, och de kommer med största sannolikhet att få den data de vill ha."
