Негізгі ұсыныстар
- Қауіпсіздік зерттеушісі iOS жүйесіндегі Facebook және Instagram қолданбалары қолданба ішіндегі браузерлердегі сілтемелерді ашу кезінде реттелетін кодты енгізетінін көрсетті.
- Код Apple құпиялылық қорғанысын айналып өтеді және сізді үшінші тарап веб-сайттарында да қадағалау үшін пайдаланылуы мүмкін.
- Басқа қауіпсіздік сарапшылары қолданбадағы браузерлерді пайдаланбауды ұсынады және Apple бұл уақытша шешімді жоққа шығару үшін қадамдар жасайды деп күтеді.
Жаңа зерттеулер көптеген қолданбалар сілтемелерді ашу үшін смартфонның әдепкі веб-шолғышын пайдаланбайтынын көрсетті, бұл операциялық жүйенің қауіпсіздік және құпиялылық мүмкіндіктерін айналып өтуі мүмкін.
Қауіпсіздік зерттеушісі Феликс Краузе Meta компаниясының iOS жүйесіндегі Instagram және Facebook қолданбалары қолданбаның реттелетін қолданбадағы шолғышы арқылы үшінші тарап веб-сайттарына кірген кезде оларға JavaScript кодын қосатынын көрсетті. Қолданба ішіндегі шолғыштар адамдарға қолданбаларынан шықпай-ақ веб-сайттарға кіруге мүмкіндік береді. Енгізілген код қолданбаларға iOS жүйесінің қолданбаларды бақылау мөлдірлігі (ATT) мүмкіндігін айналып өтіп, сыртқы веб-сайттармен барлық әрекеттесулеріңізді ықтимал бақылауға мүмкіндік береді. Apple қолданбаларды әзірлеушілерді үшінші тараптар жасаған деректерді қадағалау алдында адамдардың келісімін алуға мәжбүрлеу үшін арнайы ATT қосты.
«Instagram-ның уақытша шешімі таңқаларлық емес», - деді Лиор Яари, Grip Security киберқауіпсіздік стартапының бас директоры және негізін қалаушы, Lifewire-ге электрондық пошта арқылы. "Apple шектеулері компанияның бизнес үлгісінің негізіне қауіп төндіреді, сондықтан аман қалуға бейімделу мәселесі болды."
Ауыратын жерді соғу
Meta ATT функциясының жарнамадан түсетін табысы жылына шамамен 10 миллиард долларға түсетінін ашық мойындады.
Зерттеу барысында Краузе Facebook және Instagram қолданбаларының iOS пайдаланушысы осы әлеуметтік желілердегі сілтемені басқанда, олар қолданба ішіндегі шолғышта ашылатынын анықтады.
Кем дегенде адамдар құпия немесе құпия ақпаратты енгізу үшін қолданба ішіндегі браузерлерді пайдаланбауы керек.
Ол қолданба ішіндегі шолғыш енгізетін реттелетін JavaScript коды екі қолданбаға да сыртқы веб-сайттармен әрбір әрекеттесуді, соның ішінде құпия сөздер мен мекенжайлар сияқты мәтіндік жәшікке терген барлық нәрсені бақылауға мүмкіндік беретінін ескертті.
"1 миллиард белсенді Instagram пайдаланушысы бар Instagram және Facebook қолданбасынан ашылған әрбір үшінші тарап веб-сайтына бақылау кодын енгізу арқылы Instagram жинай алатын деректер көлемі таңқаларлық сома болып табылады", - деп жазды Краузе.
Бұл жаңалық Джордж Герчовты таң қалдырмайды, Sumo Logic компаниясының бас қауіпсіздік офицері және IT-нің аға вице-президенті.
Lifewire-ке электрондық пошта арқылы сөйлеген Герчов әлеуметтік медиа желілерінде әлемдегі ең қуатты жасанды интеллект және машиналық оқыту алгоритмдері бар екенін айтты, бұл олардың адамдарды өз платформаларында ұстауға деген мәңгілік әрекеттерімен біріктірілгенде, нағыз қауіп.
"Мен Apple-дің бұл туралы білетініне қатты сенемін, бірақ оның жария болуын қаламадым", - деді Герчов, "[Apple's] Safari браузерлердің ішіндегі ең қауіпсізі де емес."
Ойындар басталсын
Краузе кодты оның нақты мақсатын анықтау үшін зерттей алмағанымен, ол қолданбалардың ATT шектеулерін айналып өту жолын көрсетті. Яари бұл Apple-ді орнынан тұрғызып, ескертеді және қолданба ішіндегі браузерлер арқылы бақылауды шектеу үшін қосымша шектеулер енгізуі мүмкін деп санайды.
"Бұл екі компания ойнайтын мысық пен тышқан ойынының басы, нәтижесінде үлкен салалық нәтижелер болады", - деді Яари.
Том Гаррубба, Echelon Risk + Cyber компаниясының үшінші тарап тәуекелдерді басқару қызметтерінің директоры, Apple құпиялылық мәселелерін қабылдауда ғана емес, сонымен қатар кодтау және орналастыру арқылы әрекет етуде де имиджін айтарлықтай жақсартты деп санайды.
"Қолданба әзірлеушілері "дизайн бойынша құпиялылықты" қамтамасыз ету керек екенін ояту үшін топтық сот ісі, нашар PR және/немесе құпиялылықты бұзғаны үшін қомақты айыппұл талап етуі мүмкін. кодты әзірлеу мен қызметтерді жеткізудің барлық аспектілері », - деді Гаррубба Lifewire-ге электрондық пошта арқылы. "Мен үлкен технологияның әрекетсіздігі мұны сотқа немесе үлкен жазаға әкеп соқтырады деп ойлаймын."
Осы уақытқа дейін құпиялылығыңызды қорғау үшін Краузе қолданбадағы шолғыштан шығып, басқа сыртқы браузерде ашу үшін URL мекенжайын көшіріп қоюды ұсынады.
"Кем дегенде адамдар кез келген құпия немесе құпия ақпаратты енгізу үшін қолданба ішіндегі браузерлерді пайдаланбауы керек", - дейді Яари.
Алайда, біздің сарапшылар көп адамның мінез-құлқын өзгертуі екіталай екенін мойындайды, себебі бұл пайдаланушы тәжірибесін ыңғайсыз етуі мүмкін.
"Өкінішке орай, адамдардың 99,9% "лезде қанағаттану" қажеттілігінен зардап шегетіндіктен, олар бұл қадамды өткізіп жіберіп, оны әдепкі браузерінде тікелей ашады", - деді Гаррубба. "Бұл үлкен технологияны қалайтыны анық және олар өздері қалаған деректерді алады."