الوجبات الجاهزة الرئيسية
- أظهر باحث أمني أن كلاً من تطبيقات Facebook و Instagram على نظام التشغيل iOS تدخل رمزًا مخصصًا أثناء فتح الروابط في المتصفحات داخل التطبيق.
- يتحايل الرمز على حماية خصوصية Apple ويمكن استخدامه أيضًا لتتبعك على مواقع الويب التابعة لجهات خارجية.
- يقترح خبراء أمنيون آخرون تجنب استخدام المتصفحات داخل التطبيق ويتوقعون أن تتخذ Apple خطوات لإلغاء هذا الحل.
أظهر بحث جديد أن معظم التطبيقات لا تستخدم متصفح الويب الافتراضي للهاتف الذكي لفتح الروابط ، والتي من المحتمل أن تتحايل على ميزات أمان وخصوصية نظام التشغيل.
أظهر الباحث الأمني ، فيليكس كراوس ، أن تطبيقات Meta Instagram و Facebook على نظام التشغيل iOS تضيف بعض رموز JavaScript إلى مواقع الويب التابعة لجهات خارجية عندما تزورها باستخدام متصفح التطبيق المخصص داخل التطبيق. تسمح المتصفحات داخل التطبيق للأشخاص بزيارة مواقع الويب دون مغادرة تطبيقاتهم. يسمح الرمز المُدرج للتطبيقات بتتبع جميع تفاعلاتك مع مواقع الويب الخارجية ، متجاوزًا ميزة شفافية تتبع تطبيقات iOS (ATT). أضافت Apple ATT على وجه التحديد لإجبار مطوري التطبيقات على الحصول على موافقة الأشخاص قبل تتبع البيانات التي تم إنشاؤها بواسطة جهات خارجية.
"حل Instagram ليس مفاجئًا ،" قال ليور ياري ، الرئيس التنفيذي والمؤسس المشارك لشركة Grip Security الناشئة في مجال الأمن السيبراني ، لـ Lifewire عبر البريد الإلكتروني. "قيود Apple تهدد جوهر نموذج أعمال الشركة ، لذلك كان الأمر يتعلق بالتكيف [من] للبقاء على قيد الحياة."
الضرب حيث يؤلم
اعترفت Meta علنًا بأن ميزة ATT تكلفها حوالي 10 مليارات دولار سنويًا من عائدات الإعلانات.
خلال بحثه ، اكتشف Krause أنه عندما ينقر مستخدم iOS لتطبيقات Facebook و Instagram على رابط داخل هذه الشبكات الاجتماعية ، يتم فتحها في المتصفح داخل التطبيق.
على الأقل ، يجب ألا يستخدم الأشخاص المتصفحات داخل التطبيق لإدخال أي معلومات حساسة أو سرية.
حذر من أن كود JavaScript المخصص الذي يدخله المتصفح داخل التطبيق يمكّن كلا التطبيقين من تتبع كل تفاعل فردي مع مواقع الويب الخارجية ، بما في ذلك كل ما تكتبه في مربع نص مثل كلمات المرور والعناوين.
"مع وجود مليار مستخدم نشط في Instagram ، فإن كمية البيانات التي يمكن أن يجمعها Instagram عن طريق حقن كود التتبع في كل موقع ويب تابع لجهة خارجية يتم فتحه من تطبيق Instagram و Facebook هو مبلغ مذهل" ، كتب Krause.
الاكتشاف لا يفاجئ جورج غيرشو ، كبير مسؤولي الأمن ونائب الرئيس الأول لتكنولوجيا المعلومات في Sumo Logic.
في حديثه إلى Lifewire عبر البريد الإلكتروني ، قال غيرشو إن شبكات التواصل الاجتماعي لديها بعض من أقوى خوارزميات الذكاء الاصطناعي والتعلم الآلي في العالم ، والتي ، عند دمجها مع محاولتها الدائمة لجعل الناس يظلون على منصاتهم ، تصبح خطر حقيقي.
قال غيرشو"أعتقد اعتقادا راسخا أن شركة آبل عرفت بهذا الأمر لكنها لا تريد الدعاية" ، مضيفا ، "سفاري [Apple] ليس أكثر المتصفحات أمانًا أيضًا."
دع الألعاب تبدأ
بينما لم يستطع Krause فحص الكود لمعرفة الغرض الحقيقي منه ، فقد أوضح كيف يمكن للتطبيقات أن تتغلب على قيود ATT. يعتقد Yaari أن هذا يجب أن يجعل Apple تقف ، وتنتبه ، وربما حتى تنفذ قيودًا إضافية للحد من التتبع من خلال المتصفحات داخل التطبيق.
قال ياري"إنها بداية لعبة القط والفأر التي ستلعبها الشركتان ، وستكون للنتيجة تداعيات كبيرة على الصناعة".
يعتقد Tom Garrubba ، مدير خدمات إدارة المخاطر للجهات الخارجية في Echelon Risk + Cyber ، أن Apple يبدو أنها حسنت صورتها بشكل كبير في معالجة مسائل الخصوصية ليس فقط في الإدراك ولكن في العمل من خلال الترميز والنشر.
"ربما يتطلب الأمر رفع دعوى قضائية جماعية و / أو علاقات عامة سيئة و / أو غرامة كبيرة لانتهاكات الخصوصية لمطوري التطبيقات ليستيقظوا [على حقيقة] أنهم بحاجة إلى" الخصوصية حسب التصميم " في جميع جوانب تطوير الكود وتقديم الخدمات "، قال جاروبا لـ Lifewire عبر البريد الإلكتروني. "أتوقع أن عدم اتخاذ أي إجراء من قبل شركات التكنولوجيا الكبيرة سيؤدي إلى رفع دعوى قضائية أو عقوبة كبيرة في انتظار حدوثها."
في غضون ذلك ، لحماية خصوصيتك ، يقترح Krause الخروج من المتصفح داخل التطبيق ونسخ عنوان URL ببساطة ولصقه لفتحه في متصفح خارجي آخر.
"على الأقل ، يجب على الأشخاص عدم استخدام المتصفحات داخل التطبيق لإدخال أي معلومات حساسة أو سرية ،" يقترح Yaari.
ومع ذلك ، يقر خبراؤنا بأنه من غير المحتمل أن يغير الكثير من الأشخاص سلوكهم بالفعل لأن هذا قد يجعل تجربة المستخدم أكثر إزعاجًا.
"للأسف ، نظرًا لأن 99.9٪ من البشر يعانون من الحاجة إلى" الإشباع الفوري "، فإنهم سيتخطون هذه الخطوة ويفتحونها مباشرةً في متصفحهم الافتراضي ، كما قال جاروبا. "من الواضح أن هذا هو ما تريده شركات التكنولوجيا الكبيرة ، وعلى الأرجح سيحصلون على البيانات التي يريدونها".
