Bài học rút ra chính
- Một nhà nghiên cứu bảo mật đã chứng minh rằng cả ứng dụng Facebook và Instagram trên iOS đều chèn mã tùy chỉnh khi mở liên kết trong trình duyệt trong ứng dụng của chúng.
- Mã này vượt qua các biện pháp bảo vệ quyền riêng tư của Apple và có thể được sử dụng để theo dõi bạn trên các trang web của bên thứ ba.
- Các chuyên gia bảo mật khác khuyên bạn nên tránh sử dụng các trình duyệt trong ứng dụng và mong đợi Apple thực hiện các bước để vô hiệu hóa giải pháp này.
Nghiên cứu mới đã chỉ ra rằng hầu hết các ứng dụng không sử dụng trình duyệt web mặc định của điện thoại thông minh để mở liên kết, điều này có thể phá vỡ các tính năng bảo mật và quyền riêng tư của hệ điều hành.
Một nhà nghiên cứu bảo mật, Felix Krause, đã chỉ ra rằng ứng dụng Instagram và Facebook của Meta trên iOS thêm một số mã JavaScript vào các trang web của bên thứ ba khi bạn truy cập chúng bằng trình duyệt trong ứng dụng tùy chỉnh của ứng dụng. Các trình duyệt trong ứng dụng cho phép mọi người truy cập các trang web mà không cần rời khỏi ứng dụng của họ. Mã được chèn cho phép các ứng dụng có khả năng theo dõi tất cả các tương tác của bạn với các trang web bên ngoài, bỏ qua tính năng Minh bạch theo dõi ứng dụng (ATT) của iOS. Apple đã thêm ATT đặc biệt để buộc các nhà phát triển ứng dụng phải nhận được sự đồng ý của mọi người trước khi theo dõi dữ liệu do bên thứ ba tạo ra.
"Cách giải quyết của Instagram không có gì đáng ngạc nhiên", Lior Yaari, Giám đốc điều hành và đồng sáng lập của công ty khởi nghiệp an ninh mạng Grip Security, nói với Lifewire qua email. "Những hạn chế của Apple đe dọa cốt lõi của mô hình kinh doanh của công ty, vì vậy vấn đề là phải thích ứng [để] tồn tại."
Đánh Đâu Suất
Meta đã công khai thừa nhận rằng tính năng ATT đã tiêu tốn khoảng 10 tỷ đô la doanh thu quảng cáo mỗi năm.
Trong quá trình nghiên cứu của mình, Krause phát hiện ra rằng khi người dùng iOS của ứng dụng Facebook và Instagram nhấp vào liên kết trong các mạng xã hội này, chúng sẽ được mở trong trình duyệt trong ứng dụng.
Tối thiểu, mọi người không nên sử dụng trình duyệt trong ứng dụng để nhập bất kỳ thông tin nhạy cảm hoặc bí mật nào.
Anh ấy cảnh báo rằng mã JavaScript tùy chỉnh mà trình duyệt trong ứng dụng đưa vào cho phép cả hai ứng dụng có khả năng theo dõi mọi tương tác với các trang web bên ngoài, bao gồm mọi thứ bạn nhập vào hộp văn bản như mật khẩu và địa chỉ.
"Với 1 Tỷ người dùng Instagram đang hoạt động, lượng dữ liệu mà Instagram có thể thu thập bằng cách đưa mã theo dõi vào mọi trang web của bên thứ ba được mở từ ứng dụng Instagram & Facebook là một con số đáng kinh ngạc", Krause viết.
Khám phá không gây ngạc nhiên cho George Gerchow, Giám đốc An ninh và Phó Chủ tịch Cấp cao về CNTT của Sumo Logic.
Nói với Lifewire qua email, Gerchow cho biết các mạng truyền thông xã hội có một số thuật toán máy học và trí tuệ nhân tạo mạnh mẽ nhất trên thế giới, khi kết hợp với nỗ lực vĩnh viễn của họ để khiến mọi người tiếp tục sử dụng nền tảng của họ, một mối nguy hiểm thực sự.
"Tôi thực sự tin rằng Apple đã biết về điều này nhưng không muốn công khai", Gerchow nói và nói thêm, "Safari của [Apple] cũng không phải là trình duyệt an toàn nhất."
Hãy để Trò chơi Bắt đầu
Mặc dù Krause không thể kiểm tra mã để tìm ra mục đích thực sự của nó, nhưng anh ấy đã chứng minh cách các ứng dụng có thể hoạt động xung quanh các hạn chế ATT. Yaari cho rằng điều này sẽ khiến Apple đứng lên, chú ý và thậm chí có thể thực hiện các hạn chế bổ sung để hạn chế theo dõi thông qua các trình duyệt trong ứng dụng.
"Đây là phần bắt đầu của trò chơi mèo vờn chuột mà hai công ty sẽ chơi, với kết quả là có sự phân nhánh lớn trong ngành", Yaari nói.
Tom Garrubba, Giám đốc, Dịch vụ Quản lý Rủi ro Bên thứ Ba tại Echelon Risk + Cyber, tin rằng Apple dường như đã cải thiện đáng kể hình ảnh của mình trong việc giải quyết các vấn đề về quyền riêng tư không chỉ trong nhận thức mà còn trong hành động thông qua mã hóa và triển khai.
"Có lẽ sẽ có một vụ kiện tập thể, PR tồi tệ và / hoặc một khoản tiền phạt nặng nề vì vi phạm quyền riêng tư để các nhà phát triển ứng dụng thức tỉnh [thực tế] rằng họ cần phải nướng 'quyền riêng tư theo thiết kế' vào tất cả các khía cạnh của phát triển mã và cung cấp dịch vụ, "Garrubba nói với Lifewire qua email. "Tôi dự đoán sự không hành động của công nghệ lớn sẽ dẫn đến một vụ kiện hoặc hình phạt nặng đang chờ xảy ra."
Trong thời gian chờ đợi, để bảo vệ quyền riêng tư của bạn, Krause khuyên bạn nên thoát khỏi trình duyệt trong ứng dụng và chỉ cần sao chép dán URL để mở trong một trình duyệt bên ngoài khác.
"Ít nhất, mọi người không nên sử dụng trình duyệt trong ứng dụng để nhập bất kỳ thông tin nhạy cảm hoặc bí mật nào", Yaari đề xuất.
Tuy nhiên, các chuyên gia của chúng tôi thừa nhận rằng không có nhiều người thực sự thay đổi hành vi của họ vì điều này có thể khiến trải nghiệm người dùng bất tiện hơn.
"Đáng buồn thay, vì 99,9% con người gặp phải nhu cầu 'thỏa mãn tức thì', họ sẽ bỏ qua bước này và mở nó ngay trong trình duyệt mặc định của họ", Garrubba nói. "Đây rõ ràng là những gì các công nghệ lớn muốn và rất có thể họ sẽ nhận được dữ liệu họ muốn."
