Da asporto chiave
- Un ricercatore di sicurezza ha dimostrato che sia le app di Facebook che quelle di Instagram su iOS inseriscono un codice personalizzato durante l'apertura di collegamenti nei loro browser in-app.
- Il codice elude le protezioni della privacy di Apple e può essere potenzialmente utilizzato per rintracciarti anche su siti Web di terze parti.
- Altri esperti di sicurezza suggeriscono di evitare l'uso di browser in-app e si aspettano che Apple adotti misure per annullare questa soluzione alternativa.
Una nuova ricerca ha dimostrato che la maggior parte delle app non utilizza il browser Web predefinito dello smartphone per aprire i collegamenti, il che potrebbe potenzialmente aggirare le funzionalità di sicurezza e privacy del sistema operativo.
Un ricercatore di sicurezza, Felix Krause, ha dimostrato che le app Instagram e Facebook di Meta su iOS aggiungono del codice JavaScript a siti Web di terze parti quando li visiti utilizzando il browser in-app personalizzato dell'app. I browser in-app consentono alle persone di visitare i siti Web senza uscire dalle proprie app. Il codice inserito consente alle app di tracciare potenzialmente tutte le tue interazioni con siti Web esterni, bypassando la funzione di trasparenza del tracciamento delle app (ATT) di iOS. Apple ha aggiunto ATT specificamente per costringere gli sviluppatori di app a ottenere il consenso delle persone prima di tracciare i dati generati da terze parti.
"La soluzione alternativa di Instagram non è sorprendente", ha detto a Lifewire via e-mail Lior Yaari, CEO e co-fondatore della startup di sicurezza informatica Grip Security. "Le restrizioni di Apple minacciano il nucleo del modello di business dell'azienda, quindi si trattava di adattarsi [per] sopravvivere."
Colpire dove fa male
Meta ha ammesso apertamente che la funzione ATT gli costava circa $ 10 miliardi all'anno in entrate pubblicitarie.
Durante la sua ricerca, Krause ha scoperto che quando un utente iOS delle app Facebook e Instagram fa clic su un collegamento all'interno di questi social network, questi vengono aperti nel browser in-app.
Al minimo, le persone non dovrebbero utilizzare i browser in-app per inserire informazioni sensibili o riservate.
Ha avvertito che il codice JavaScript personalizzato iniettato dal browser in-app consente a entrambe le app di tracciare potenzialmente ogni singola interazione con siti Web esterni, incluso tutto ciò che digiti in una casella di testo come password e indirizzi.
"Con 1 miliardo di utenti Instagram attivi, la quantità di dati che Instagram può raccogliere iniettando il codice di monitoraggio in ogni sito Web di terze parti aperto dall'app Instagram e Facebook è una quantità impressionante", ha scritto Krause.
La scoperta non sorprende George Gerchow, Chief Security Officer e Senior Vice President IT di Sumo Logic.
Parlando con Lifewire via e-mail, Gerchow ha affermato che i social network hanno alcuni dei più potenti algoritmi di intelligenza artificiale e apprendimento automatico al mondo, che, se combinati con il loro eterno tentativo di convincere le persone a rimanere sulle loro piattaforme, diventa un vero pericolo.
"Credo fermamente che Apple lo sapesse ma non volesse la pubblicità", ha detto Gerchow, aggiungendo: "Neanche Safari [di Apple] è il più sicuro dei browser."
Che i giochi abbiano inizio
Anche se Krause non ha potuto esaminare il codice per capirne il vero intento, ha dimostrato come le app potrebbero aggirare le restrizioni ATT. Yaari pensa che questo dovrebbe far alzare Apple, prenderne atto e forse anche implementare ulteriori restrizioni per limitare il tracciamento attraverso i browser in-app.
"È l'inizio del gioco del gatto e del topo a cui giocheranno le due società, con il risultato che avrà importanti ramificazioni nel settore", ha affermato Yaari.
Tom Garrubba, Direttore, Servizi di gestione del rischio di terze parti presso Echelon Risk + Cyber, ritiene che Apple sembri aver notevolmente migliorato la sua immagine nell'affrontare le questioni relative alla privacy non solo nella percezione, ma anche in azione tramite la codifica e l'implementazione.
"Forse ci vorrà un'azione legale collettiva, cattive pubbliche relazioni e/o una pesante multa per le violazioni della privacy affinché gli sviluppatori di applicazioni si rendano conto [del fatto] che hanno bisogno di 'privacy by design' in tutti gli aspetti dello sviluppo del codice e della fornitura dei servizi", ha detto Garrubba a Lifewire via e-mail. "Prevedo che l'inerzia da parte delle grandi tecnologie porterà a una causa oa una pesante sanzione in attesa di verificarsi."
Nel frattempo, per salvaguardare la tua privacy, Krause suggerisce di uscire dal browser in-app e semplicemente di copiare e incollare l'URL per aprirlo in un altro browser esterno.
"Almeno, le persone non dovrebbero utilizzare i browser in-app per inserire informazioni sensibili o riservate", suggerisce Yaari.
Tuttavia, i nostri esperti riconoscono che è improbabile che molte persone cambino effettivamente il loro comportamento in quanto ciò potrebbe rendere l'esperienza dell'utente più scomoda.
"Purtroppo, dal momento che il 99,9% degli esseri umani soffre del bisogno di 'gratificazione immediata', s alteranno questo passaggio e lo apriranno direttamente nel browser predefinito", ha affermato Garrubba. "Questo è chiaramente ciò che vogliono le grandi tecnologie e molto probabilmente otterranno i dati che desiderano."
