Key Takeaways
- Ein Sicherheitsforscher hat gezeigt, dass sowohl Facebook- als auch Instagram-Apps auf iOS einen benutzerdefinierten Code einfügen, während sie Links in ihren In-App-Browsern öffnen.
- Der Code umgeht den Datenschutz von Apple und kann möglicherweise auch dazu verwendet werden, Sie auf Websites von Drittanbietern zu verfolgen.
- Andere Sicherheitsexperten schlagen vor, die Verwendung von In-App-Browsern zu vermeiden, und erwarten, dass Apple Schritte unternimmt, um diese Problemumgehung aufzuheben.
Neue Untersuchungen haben gezeigt, dass die meisten Apps nicht den Standard-Webbrowser des Smartphones verwenden, um Links zu öffnen, wodurch möglicherweise die Sicherheits- und Datenschutzfunktionen des Betriebssystems umgangen werden könnten.
Ein Sicherheitsforscher, Felix Krause, hat gezeigt, dass die Instagram- und Facebook-Apps von Meta auf iOS Websites von Drittanbietern JavaScript-Code hinzufügen, wenn Sie sie mit dem benutzerdefinierten In-App-Browser der App besuchen. In-App-Browser ermöglichen es Benutzern, Websites zu besuchen, ohne ihre Apps zu verlassen. Der eingefügte Code ermöglicht es den Apps, potenziell alle Ihre Interaktionen mit externen Websites zu verfolgen, wobei die App Tracking Transparency (ATT)-Funktion von iOS umgangen wird. Apple hat ATT speziell hinzugefügt, um App-Entwickler zu zwingen, die Zustimmung der Leute einzuholen, bevor sie von Dritten generierte Daten verfolgen.
"Die Problemumgehung von Instagram ist nicht überraschend", sagte Lior Yaari, CEO und Mitbegründer des Cybersicherheits-Startups Grip Security, per E-Mail gegenüber Lifewire. "Die Beschränkungen von Apple bedrohen den Kern des Geschäftsmodells des Unternehmens, also war es eine Frage der Anpassung [um] zu überleben."
Zuschlagen, wo es wehtut
Meta hat offen zugegeben, dass die ATT-Funktion sie jährlich etwa 10 Milliarden US-Dollar an Werbeeinnahmen gekostet hat.
Während seiner Recherchen entdeckte Krause, dass wenn ein iOS-Benutzer der Facebook- und Instagram-Apps auf einen Link innerhalb dieser sozialen Netzwerke klickt, diese im In-App-Browser geöffnet werden.
Zumindest sollten Benutzer keine In-App-Browser verwenden, um sensible oder vertrauliche Informationen einzugeben.
Er warnte davor, dass der benutzerdefinierte JavaScript-Code, den der In-App-Browser einfügt, es beiden Apps ermöglicht, potenziell jede einzelne Interaktion mit externen Websites zu verfolgen, einschließlich allem, was Sie in ein Textfeld eingeben, wie Passwörter und Adressen.
"Mit 1 Milliarde aktiven Instagram-Nutzern ist die Datenmenge, die Instagram sammeln kann, indem es den Tracking-Code in jede von der Instagram- und Facebook-App geöffnete Website eines Drittanbieters einfügt, eine erstaunliche Menge", schrieb Krause.
Die Entdeckung überrascht George Gerchow, Chief Security Officer und Senior Vice President of IT bei Sumo Logic, nicht.
In einem E-Mail-Gespräch mit Lifewire sagte Gerchow, dass soziale Mediennetzwerke über einige der leistungsstärksten Algorithmen für künstliche Intelligenz und maschinelles Lernen der Welt verfügen, was in Kombination mit ihrem immerwährenden Versuch, Menschen dazu zu bringen, auf ihren Plattformen zu bleiben, wird eine echte Gefahr.
"Ich bin fest davon überzeugt, dass Apple davon gewusst hat, aber die Öffentlichkeit nicht wollte", sagte Gerchow und fügte hinzu: "[Apples] Safari ist auch nicht der sicherste Browser."
Lasst die Spiele beginnen
Obwohl Krause den Code nicht untersuchen konnte, um seine wahre Absicht herauszufinden, zeigte er doch, wie Apps die ATT-Einschränkungen umgehen könnten. Yaari ist der Meinung, dass dies Apple dazu bringen sollte, aufzustehen, aufmerksam zu werden und vielleicht sogar zusätzliche Einschränkungen zu implementieren, um die Verfolgung durch In-App-Browser einzuschränken.
"Es ist der Beginn des Katz-und-Maus-Spiels, das die beiden Unternehmen spielen werden, mit dem Ergebnis, das große Auswirkungen auf die Branche haben wird", sagte Yaari.
Tom Garrubba, Director, Third-Party Risk Management Services bei Echelon Risk + Cyber, glaubt, dass Apple sein Image beim Umgang mit Datenschutzfragen offenbar erheblich verbessert hat, nicht nur in der Wahrnehmung, sondern auch in der Tat durch seine Codierung und Bereitstellung.
"Vielleicht braucht es eine Sammelklage, schlechte PR und/oder eine saftige Geldstrafe für Datenschutzverletzungen, damit Anwendungsentwickler aufwachen [zu der Tatsache], dass sie "Privacy by Design" backen müssen in alle Aspekte der Code-Entwicklung und Servicebereitstellung", sagte Garrubba Lifewire per E-Mail. "Ich gehe davon aus, dass die Untätigkeit der großen Technologieunternehmen zu einem Gerichtsverfahren oder einer saftigen Strafe führen wird, die darauf warten, dass es passiert."
Um Ihre Privatsphäre zu schützen, schlägt Krause in der Zwischenzeit vor, den In-App-Browser zu verlassen und einfach die URL zu kopieren und in einem anderen externen Browser zu öffnen.
"Zumindest sollten Benutzer keine In-App-Browser verwenden, um sensible oder vertrauliche Informationen einzugeben", schlägt Yaari vor.
Unsere Experten erkennen jedoch an, dass es unwahrscheinlich ist, dass viele Menschen ihr Verh alten tatsächlich ändern, da dies die Benutzererfahrung unangenehmer machen könnte.
"Da leider 99,9 % der Menschen unter dem Bedürfnis nach 'sofortiger Befriedigung' leiden, überspringen sie diesen Schritt und öffnen ihn direkt in ihrem Standardbrowser", sagte Garrubba. „Das ist eindeutig das, was Big Tech will, und sie werden höchstwahrscheinlich die Daten bekommen, die sie wollen.“