Facebook, Instagram и TikTok следят за людьми, как защититься

В iOS конфиденциальность является большой проблемой, особенно когда речь идет о встроенных браузерах. InAppBrowser.com — это новый веб-сайт, который позволяет увидеть, какие команды JavaScript внедряются в браузер in-app. Это может помочь вам защитить вашу конфиденциальность и безопасность при использовании браузеров in-app, сообщает Bizmedia.kz.

Facebook, Instagram и TikTok следят за людьми, как защититься
Facebook, Instagram и TikTok следят за людьми, как защититься

Недавно был опубликован отчет об опасностях использования мобильных приложений, в которых есть встроенные браузеры. Некоторые приложения, такие как Instagram, TikTok и Facebook, внедряют код JavaScript на сторонние веб-сайты. Это может стать причиной потенциальных рисков для безопасности и конфиденциальности пользователей.

Статья об уязвимостях Meltdown и Spectre, появившаяся в крупнейших СМИ по всему миру, вызвала большой резонанс в социальных сетях. Люди задавали распространенный вопрос об этих уязвимостях: что можно сделать, чтобы защитить себя от них?

Как выявили, что Instagram, TikTok и Facebook проводят слежку?

Инструмент, который использовали для анализа самых популярных iOS-приложений с встроенными браузерами, исключает все сторонние браузеры, использующие JavaScript для предоставления таких функций, как менеджер паролей. Apple требует, чтобы все сторонние браузеры для iOS использовали движок рендеринга Safari — WebKit.

Сайт InAppBrowser.com создан для того, чтобы пользователи могли видеть, что делают приложения внутри своих встроенных браузеров. Код, используемый для этого анализа, является открытым, поэтому сообщество может обновлять и улучшать его со временем.

Приложение Опция открытия в браузере по умолчанию Изменить страницу Получение метаданных JS Обновленный
TikTok ⛔️ Да Да .js 2022-08-18
Instagram Да Да .js 2022-08-18
FB Messenger Да Да .js 2022-08-18
Facebook Да Да .js 2022-08-18
Amazon Нет Да .js 2022-08-18
Snapchat Нет Нет 2022-08-18
Robinhood Нет Нет 2022-08-18

Приложения для iOS, имеющие собственный встроенный браузер, обычно предоставляют кнопку для открытия отображаемой в данный момент ссылки в браузере по умолчанию.

Приложение внедряет код JavaScript на сторонние веб-сайты для изменения их содержимого. Это включает в себя добавление кода отслеживания, внедрение внешних файлов JavaScript и создание новых элементов HTML.

Как происходит слежка?

TikTok

Facebook, Instagram и TikTok следят за людьми, как защититься - TikTok
Facebook, Instagram и TikTok следят за людьми, как защититься — TikTok

Когда вы открываете любую ссылку в приложении TikTok для iOS, она открывается в браузере приложения. Это означает, что пока вы взаимодействуете с веб-сайтом, TikTok, Facebook и Instagram могут записывать все клавиатурные вводы — включая пароли, информацию о кредитной карте и т.д. — и каждое нажатие на экран, например, на какие кнопки и ссылки вы нажимаете.

Никто не знает, для чего TikTok, Facebook и Instagram используют эту информацию, но с технической точки зрения это эквивалентно установке кейлоггера на сторонних сайтах.

Напрмиер, TikTok iOS подписывается на каждое нажатие на любую кнопку, ссылку, изображение или другой компонент на веб-сайтах, отображаемых в приложении TikTok. Используя функцию JavaScript, они могут получить подробную информацию об элементе, на который нажал пользователь, например, изображении (document.elementFromPoint). В список команд входит все: от получения координат щелкнутого элемента до получения его размеров.

Imstagram

Instagram не просто вставляет скрипт pcm.js на сторонние сайты — они также утверждают, что делают это для того, чтобы уважать выбор ATT пользователя и обеспечить дополнительную безопасность и пользовательские функции.

Facebook, Instagram и TikTok следят за людьми, как защититься - Instagram
Facebook, Instagram и TikTok следят за людьми, как защититься — Instagram

Код, о котором идет речь, помогает уважать выбор людей якобы в пользу конфиденциальности, агрегируя события из пикселей на веб-сайтах до их использования в рекламных целях или в целях измерения. Это предотвращает сбор личной информации без согласия людей.

После улучшения обнаружения JavaScript люди обнаружили некоторые дополнительные команды, которые выполняет Instagram. В частности, Instagram iOS записывает каждое нажатие на любую кнопку, ссылку, изображение или другой компонент на внешних веб-сайтах, отображаемых внутри приложения Instagram. Кроме того, Instagram iOS подписывается на каждый раз, когда пользователь выбирает элемент пользовательского интерфейса (например, текстовое поле) на сторонних веб-сайтах, отображаемых в приложении Instagram.

После обнаружения Instagram, TikTok и Facebook скрыли функции

Приложение подписывается на события JavaScript всех типов, поэтому трудно проверить, что происходит с данными.

Приложения могут скрыть свою деятельность JavaScript от этого инструмента, выполняя свой код в отдельном фрейме. Это означает, что веб-сайт не может обнаружить выполняемый код, но все еще имеет доступ к стороннему веб-сайту.

Приложения могут скрыть свои действия JavaScript от этого инструмента, выполняя свой код в определенном фрейме и мире контента. Это означает, что команды по-прежнему будут иметь доступ к стороннему сайту, но это будет незаметно для самого сайта.

Телеф.

Класс WKContentWorld действует как пространство имен для отделения веб-окружения вашего приложения от окружения отдельных веб-страниц или скриптов. Это помогает предотвратить любые конфликты, которые могут возникнуть, когда два скрипта изменяют различные переменные окружения. Любые изменения, которые вы вносите в DOM, видны всему коду скрипта, независимо от того, в каком мире содержимого он выполняется.

Как пользователь, вы можете проверить исходный код любого плагина браузера, поскольку вы контролируете сам браузер. Однако в случае с браузерами приложений у нас нет надежного способа проверить весь выполняемый код.

Поэтому, когда Meta или TikTok захотят скрыть команды JavaScript, которые они выполняют на сторонних сайтах, все, что им нужно будет сделать, это обновить свой JavaScript runner:self.evaluateJavaScript(javascript).

Опасны приложения со встроеным браузером

Приложениям, которым необходим доступ к собственным веб-сайтам для выполнения определенных операций, может быть полезно использовать браузер внутри приложения. Это поможет пользователям оставаться зарегистрированными и избежать необходимости повторного входа в систему каждый раз, когда они хотят завершить транзакцию. Например, приложение авиакомпании может не иметь встроенной функции выбора места для всего парка самолетов. Вместо этого они могут использовать уже имеющийся веб-интерфейс. Если бы они не могли внедрить cookie-файлы или команды JavaScript в веб-интерфейс, пользователю пришлось бы заново входить в систему при использовании приложения, только чтобы выбрать место.

Телефон.

Встроенные браузеры можно использовать для посещения веб-сайтов, которые не являются сторонними, например Instagram и TikTok. Однако при этом возникают проблемы с конфиденциальностью и целостностью данных. В частности, в браузерах приложений часто нет возможности использовать стандартный браузер по умолчанию вместо браузера приложения. Кроме того, в некоторых случаях (например, в TikTok) нет кнопки для открытия текущей страницы в браузере по умолчанию.

Приложения, за которые не стоит беспокоиться

Все приложения, представленные ниже, используют Safari или SFSafariViewController для просмотра внешних веб-сайтов, что соответствует рекомендациям Apple. SFSafariViewController обеспечивает большую безопасность и защиту от внедрения кода, чем вариант «Браузер по умолчанию». Таким образом, использование SFSafariViewController или Safari является наиболее безопасным способом просмотра веб-сайтов на устройствах iOS.

Приложение Технология Обновлен
Twitter SFSafariViewController 2022-08-15
Reddit SFSafariViewController 2022-08-15
WhatsApp Default Browser 2022-08-15
Slack Default Browser 2022-08-16
Google Maps SFSafariViewController 2022-08-15
YouTube Default Browser 2022-08-15
Gmail Default Browser 2022-08-15
Telegram SFSafariViewController 2022-08-15
Signal SFSafariViewController 2022-08-15
Tweetbot SFSafariViewController 2022-08-15
Spotify Default Browser 2022-08-15
Venmo SFSafariViewController 2022-08-15
Microsoft Teams Default Browser 2022-08-16
Microsoft Outlook Default Browser or Edge 2022-08-16
Microsoft OneNote Default Browser 2022-08-16
Twitch Default Browser 2022-08-16

Как защищаться?

Как пользователь приложения, вы можете воспользоваться функцией «Открыть в браузере», чтобы переключиться на более безопасный браузер. Если эта кнопка недоступна, вам придется скопировать и вставить URL-адрес, чтобы открыть ссылку в выбранном вами браузере. Если приложение не позволяет сделать даже это, вы можете нажать и удерживать ссылку на сайте, а затем воспользоваться функцией копирования. Если и эта функция недоступна, постарайтесь в этом браузере не вбивать свои персональные данные.

Если вы работаете в компании, где есть браузер in-app, используйте его только для собственных страниц и открывайте все внешние ссылки в браузере пользователя по умолчанию. Кроме того, предусмотрите настройку, позволяющую пользователям выбирать браузер по умолчанию, а не браузер в приложении. К сожалению, подобные изменения редко становятся приоритетными по сравнению с функциями, которые двигают метрики внутри технических организаций. Тем не менее, очень важно, чтобы люди рассказывали другим членам своей команды и своим руководителям о положительном влиянии принятия лучших решений о безопасности и конфиденциальности для пользователя. Эти изменения можно прозрачно рекламировать пользователям как возможность для дальнейшего укрепления доверия.

Телефон.

Важно отметить, как много изменений произошло в сфере конфиденциальности данных, но неясно, насколько эти изменения действительно улучшили ситуацию в отрасли и для пользователей. Многие технологические компании критикуют за «злоупотребление конфиденциальностью данных пользователей», но на самом деле они пытаются сбалансировать бизнес профессионалов, создать отличный пользовательский опыт и убедиться, что они уважают конфиденциальность и данные пользователей. Понятно, почему компании в первую очередь были заинтересованы в том, чтобы предоставить опыт работы с внешними веб-сайтами в приложении.

Большие компании не крадут пароли

Короче говоря, если вы используете встроенный браузер, приложение может видеть все, что вы делаете в Интернете. Однако перечисленные выше приложения на самом деле не крадут пароли, адреса и номера кредитных карт. Это лишь демонстрация того, как злоумышленники могут получить доступ к этим данным. Компании будут отслеживать любые данные, которые доступны им легально и бесплатно, не спрашивая разрешения пользователя.

Телефон.

Автор предполагает, что компании могут намеренно не использовать браузер по умолчанию на iPhone, чтобы отслеживать действия пользователей. Они отмечают, что компаниям сложнее создавать свои собственные браузеры для приложений, и предполагают, что для такого отслеживания может быть своя мотивация.

Сайт проверяет только один из многих сотен векторов атаки: Внедрение JavaScript из самого приложения. И даже для них, начиная с декабря 2020 года, разработчики приложений могут полностью скрывать выполняемые ими команды JavaScript, поэтому у нас нет возможности проверить, что на самом деле происходит в приложении.

Bizmedia.kz — в Телеграм, Инстаграм, Фейсбук и Твитере. Подписывайтесь, чтобы ничего не пропустить.



Подробнее об источнике:

Деловые новости — это вид журналистики, освещающий экономические и деловые темы. Деловые новости могут включать истории о компаниях, отраслях, экономике и рынках. Они также могут включать анализ анализ и комментарии экспертов в области бизнеса. Деловые новости часто публикуются в газетах, журналах и интернет-изданиях.

Некоторые популярные источники деловых новостей включают The Wall Street Journal, Business Insider, Bloomberg Businessweek и Bizmedia.kz. Новости бизнеса также часто появляются в телевизионных и радиопрограммах.

Существует множество различных типов деловых новостей. Они могут включать профили предприятий и их лидеров, рассказы о новых продуктах или услугах, отчеты о слияниях и поглощениях, а также освещение экономических тенденций. Новости бизнеса часто имеют глобальную перспективу, поскольку предприятия все чаще работают на международных рынках.

Деловые новости являются важным источником информации для инвесторов и бизнесменов. Они могут дать представление о работе компании, экономических тенденциях и новых возможностях для бизнеса. Деловые новости также могут использоваться для принятия инвестиционных решений.

Bizmedia — бизнес новости. Все о льготном кредитовании, кредитах и ипотеках на новое, и вторичное жилье

Подробнее: Bizmedia.kz — ваши новости бизнеса

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *