Belangrijkste afhaalrestaurants
- Een beveiligingsonderzoeker heeft aangetoond dat zowel Facebook- als Instagram-apps op iOS een aangepaste code invoegen bij het openen van links in hun in-app-browsers.
- De code omzeilt de privacybescherming van Apple en kan mogelijk ook worden gebruikt om u te volgen op websites van derden.
- Andere beveiligingsexperts stellen voor het gebruik van in-app-browsers te vermijden en verwachten dat Apple stappen onderneemt om deze tijdelijke oplossing teniet te doen.
Nieuw onderzoek heeft aangetoond dat de meeste apps de standaardwebbrowser van de smartphone niet gebruiken om links te openen, waardoor de beveiligings- en privacyfuncties van het besturingssysteem mogelijk kunnen worden omzeild.
Een beveiligingsonderzoeker, Felix Krause, heeft aangetoond dat Meta's Instagram- en Facebook-apps op iOS wat JavaScript-code toevoegen aan websites van derden wanneer je ze bezoekt met behulp van de aangepaste in-app-browser van de app. Met in-app-browsers kunnen mensen websites bezoeken zonder hun apps te verlaten. Met de ingevoegde code kunnen de apps mogelijk al uw interacties met externe websites volgen, waarbij de functie App Tracking Transparency (ATT) van iOS wordt omzeild. Apple heeft ATT specifiek toegevoegd om app-ontwikkelaars te dwingen de toestemming van mensen te krijgen voordat ze gegevens bijhouden die door derden zijn gegenereerd.
"De oplossing van Instagram is niet verrassend", vertelde Lior Yaari, CEO en mede-oprichter van cybersecurity-startup Grip Security, via e-mail aan Lifewire. "De beperkingen van Apple bedreigen de kern van het bedrijfsmodel van het bedrijf, dus het was een kwestie van aanpassen [om] te overleven."
Aanraken waar het pijn doet
Meta heeft openlijk toegegeven dat de ATT-functie het ongeveer $ 10 miljard per jaar aan advertentie-inkomsten kostte.
Tijdens zijn onderzoek ontdekte Krause dat wanneer een iOS-gebruiker van de Facebook- en Instagram-apps op een link binnen deze sociale netwerken klikt, deze worden geopend in de in-app-browser.
Mensen mogen ten minste geen in-app-browsers gebruiken om gevoelige of vertrouwelijke informatie in te voeren.
Hij waarschuwde dat de aangepaste JavaScript-code die de in-app-browser injecteert, beide apps in staat stelt om elke afzonderlijke interactie met externe websites te volgen, inclusief alles wat u in een tekstvak typt, zoals wachtwoorden en adressen.
"Met 1 miljard actieve Instagram-gebruikers is de hoeveelheid gegevens die Instagram kan verzamelen door de trackingcode te injecteren in elke website van derden die wordt geopend vanuit de Instagram- en Facebook-app een duizelingwekkende hoeveelheid", schreef Krause.
De ontdekking verbaast George Gerchow, Chief Security Officer en Senior Vice President of IT bij Sumo Logic, niet.
Sprekend met Lifewire via e-mail, zei Gerchow dat sociale-medianetwerken enkele van de krachtigste kunstmatige intelligentie- en machine learning-algoritmen ter wereld hebben, die, in combinatie met hun eeuwige poging om mensen op hun platforms te laten blijven, wordt een reëel gevaar.
"Ik ben ervan overtuigd dat Apple hiervan op de hoogte was, maar de publiciteit niet wilde," zei Gerchow, eraan toevoegend: "[Apple's] Safari is ook niet de veiligste browser."
Laat de Spelen beginnen
Hoewel Krause de code niet kon onderzoeken om erachter te komen wat de echte bedoeling was, demonstreerde hij wel hoe apps de ATT-beperkingen konden omzeilen. Yaari denkt dat Apple hierdoor moet opstaan, er kennis van moet nemen en misschien zelfs extra beperkingen moet invoeren om het volgen via in-app-browsers te beperken.
"Dit is het begin van het kat-en-muisspel dat de twee bedrijven zullen spelen, met als resultaat grote gevolgen voor de industrie", aldus Yaari.
Tom Garrubba, Director, Third-Party Risk Management Services bij Echelon Risk + Cyber, is van mening dat Apple zijn imago op het gebied van privacykwesties aanzienlijk heeft verbeterd, niet alleen in perceptie, maar ook in actie via de codering en implementatie ervan.
"Misschien is er een class action-rechtszaak, slechte PR en/of een flinke boete voor privacyschendingen nodig voor applicatieontwikkelaars om wakker te worden [tot het feit] dat ze 'privacy by design' moeten bakken in alle aspecten van code-ontwikkeling en dienstverlening", vertelde Garrubba via e-mail aan Lifewire. "Ik voorspel dat inactiviteit van de grote techneuten dit zal leiden tot een rechtszaak of een flinke boete die nog moet gebeuren."
In de tussentijd, om uw privacy te beschermen, stelt Krause voor om de in-app browser te verlaten en de URL te kopiëren en plakken om deze in een andere externe browser te openen.
"Mensen zouden ten minste geen in-app-browsers moeten gebruiken om gevoelige of vertrouwelijke informatie in te voeren", stelt Yaari voor.
Onze experts erkennen echter dat het onwaarschijnlijk is dat veel mensen hun gedrag daadwerkelijk zullen veranderen, omdat dit de gebruikerservaring onhandiger kan maken.
"Helaas, aangezien 99,9% van de mensen lijdt aan de behoefte aan 'onmiddellijke bevrediging', slaan ze deze stap over en openen ze deze rechtstreeks in hun standaardbrowser," zei Garrubba. "Dit is duidelijk wat grote techneuten willen, en ze zullen hoogstwaarschijnlijk de gegevens krijgen die ze willen."