Clau per emportar
- Un investigador de seguretat ha demostrat que tant les aplicacions de Facebook com d'Instagram a iOS insereixen un codi personalitzat mentre obren enllaços als seus navegadors dins de l'aplicació.
- El codi eludeix les proteccions de privadesa d'Apple i també es pot utilitzar per fer-te un seguiment a llocs web de tercers.
- Altres experts en seguretat suggereixen evitar l'ús de navegadors integrats a l'aplicació i esperen que Apple prengui mesures per anul·lar aquesta solució alternativa.
Una nova investigació ha demostrat que la majoria d'aplicacions no utilitzen el navegador web predeterminat del telèfon intel·ligent per obrir enllaços, cosa que podria eludir les funcions de seguretat i privadesa del sistema operatiu.
Un investigador de seguretat, Felix Krause, ha demostrat que les aplicacions d'Instagram i Facebook de Meta a iOS afegeixen codi JavaScript a llocs web de tercers quan els visiteu mitjançant el navegador personalitzat de l'aplicació. Els navegadors integrats a l'aplicació permeten que les persones visitin llocs web sense sortir de les seves aplicacions. El codi inserit permet que les aplicacions facin un seguiment potencial de totes les vostres interaccions amb llocs web externs, sense passar la funció de transparència de seguiment d'aplicacions (ATT) d'iOS. Apple va afegir ATT específicament per obligar els desenvolupadors d'aplicacions a obtenir el consentiment de la gent abans de fer el seguiment de les dades generades per tercers.
"La solució d'Instagram no és sorprenent", va dir a Lifewire Lior Yaari, director general i cofundador de la startup de ciberseguretat Grip Security. "Les restriccions d'Apple amenacen el nucli del model de negoci de l'empresa, per la qual cosa es tractava d'adaptar-se [per] sobreviure."
Copejar on fa mal
Meta ha admès obertament que la funció ATT li costava uns 10.000 milions de dòlars anuals en ingressos publicitaris.
Durant la seva investigació, Krause va descobrir que quan un usuari d'iOS de les aplicacions de Facebook i Instagram fa clic a un enllaç d'aquestes xarxes socials, s'obren al navegador de l'aplicació.
Com a mínim, les persones no haurien d'utilitzar navegadors integrats a l'aplicació per introduir informació sensible o confidencial.
Va advertir que el codi JavaScript personalitzat que injecta el navegador de l'aplicació permet que ambdues aplicacions puguin fer un seguiment potencial de cada interacció amb llocs web externs, inclòs tot el que escriviu en un quadre de text, com ara contrasenyes i adreces.
"Amb 1.000 milions d'usuaris actius d'Instagram, la quantitat de dades que Instagram pot recopilar injectant el codi de seguiment a tots els llocs web de tercers oberts des de l'aplicació Instagram i Facebook és una quantitat sorprenent", va escriure Krause..
El descobriment no sorprèn a George Gerchow, director de seguretat i vicepresident sènior d'informàtica de Sumo Logic.
Parlant amb Lifewire per correu electrònic, Gerchow va dir que les xarxes socials tenen alguns dels algorismes d'intel·ligència artificial i d'aprenentatge automàtic més potents del món, que, combinats amb el seu intent etern d'aconseguir que la gent es quedi a les seves plataformes, es converteix en un autèntic perill.
"Crec fermament que Apple n'ha sabut, però no volia la publicitat", va dir Gerchow, i va afegir: "El Safari d'[Apple] tampoc és el navegador més segur."
Que comencin els jocs
Tot i que Krause no va poder examinar el codi per esbrinar-ne la intenció real, sí que va demostrar com les aplicacions podrien evitar les restriccions ATT. Yaari creu que això hauria de fer que Apple s'aixequi, s'adoni i potser fins i tot implementar restriccions addicionals per limitar el seguiment a través dels navegadors de l'aplicació.
"És l'inici del joc del gat i el ratolí que jugaran les dues empreses, i el resultat tindrà ramificacions importants per a la indústria", va dir Yaari.
Tom Garrubba, director de serveis de gestió de riscos de tercers d'Echelon Risk + Cyber, creu que Apple sembla haver millorat molt la seva imatge per abordar qüestions de privadesa no només en la percepció sinó en l'acció mitjançant la seva codificació i desplegament.
"Potser caldrà una demanda col·lectiva, una mala relació de relacions públiques i/o una forta multa per violacions de la privadesa perquè els desenvolupadors d'aplicacions s'adonin [del fet] que necessiten "privadesa per disseny" en tots els aspectes del desenvolupament de codi i la prestació de serveis", va dir Garrubba a Lifewire per correu electrònic. "Preveig que la inacció de la gran tecnologia portarà això a una demanda o una forta sanció a l'espera de passar."
Mentrestant, per protegir la vostra privadesa, Krause suggereix sortir del navegador de l'aplicació i simplement copiar i enganxar l'URL per obrir-lo en un altre navegador extern.
"Com a mínim, les persones no haurien d'utilitzar navegadors dins de l'aplicació per introduir informació sensible o confidencial", suggereix Yaari.
No obstant això, els nostres experts reconeixen que és poc probable que moltes persones canviïn el seu comportament, ja que això podria fer que l'experiència de l'usuari sigui més incòmode.
"Lamentablement, com que el 99,9% dels humans pateixen la necessitat de 'gratificació instantània', s'ometran aquest pas i l'obriran directament al seu navegador predeterminat", va dir Garrubba. "Això és clarament el que vol la gran tecnologia, i el més probable és que obtinguin les dades que volen."