Үндсэн санаанууд
- Аюулгүй байдлын судлаач iOS дээрх Facebook болон Instagram програмууд нь апп-ын хөтөч дээрээ холбоос нээхдээ тусгай код оруулдгийг харуулсан.
- Энэ код нь Apple-ийн нууцлалын хамгаалалтыг тойрч гарах бөгөөд таныг гуравдагч этгээдийн вэб сайтаас хянахад ашиглаж болно.
- Аюулгүй байдлын бусад мэргэжилтнүүд апп-доторх хөтчүүдийг ашиглахаас зайлсхийхийг санал болгож байгаа бөгөөд Apple-аас энэ шийдлийг хүчингүй болгох арга хэмжээ авна гэж найдаж байна.
Шинэ судалгаагаар ихэнх аппликешн нь ухаалаг утасны үндсэн вэб хөтчийг ашиглан холбоосыг нээдэггүй бөгөөд энэ нь үйлдлийн системийн аюулгүй байдал, нууцлалын онцлогийг тойрч гарах магадлалтай.
Аюулгүй байдлын судлаач Феликс Краузе Meta-н iOS дээрх Instagram болон Facebook-ийн аппликейшн нь таныг тухайн апп-н хөтөч ашиглан гуравдагч этгээдийн вэбсайтад зочлоход зарим JavaScript код нэмдэг болохыг харуулсан. Апп-доторх хөтчүүд нь хүмүүст програмаа орхихгүйгээр вэбсайт руу зочлох боломжийг олгодог. Оруулсан код нь iOS-ийн Аппликейшн хянах ил тод байдлын (ATT) функцийг алгасаж, гадаад вэб сайттай харьцах бүх харилцааг тань хянах боломжийг апп-д олгоно. Гуравдагч этгээдийн үүсгэсэн өгөгдлийг хянахын өмнө програм хөгжүүлэгчдийг хүмүүсээс зөвшөөрөл авахыг албадахын тулд Apple ATT-г тусгайлан нэмсэн.
"Instagram-ийн тойрон гарах шийдэл нь гайхмаар зүйл биш" гэж кибер аюулгүй байдлын Grip Security-ийн гүйцэтгэх захирал, үүсгэн байгуулагч Лиор Яари Lifewire-д цахим шуудангаар ярьжээ. "Apple-ийн хязгаарлалт нь компанийн бизнесийн загварт заналхийлж байгаа тул амьд үлдэхийн тулд дасан зохицох асуудал байсан."
Өвдөж байгаа газраа цохих
Meta ATT функц нь зар сурталчилгааны орлогод жилд 10 тэрбум доллар зарцуулж байсныг нээлттэй хүлээн зөвшөөрсөн.
Судалгааны явцад Краузе Facebook болон Instagram програмын iOS хэрэглэгч эдгээр нийгмийн сүлжээн дэх холбоос дээр дарахад тэдгээр нь програмын хөтөч дээр нээгддэг болохыг олж мэдсэн.
Хүмүүс хамгийн багадаа ямар нэгэн эмзэг, нууц мэдээлэл оруулахын тулд апп-доторх хөтчийг ашиглах ёсгүй.
Апп-доторх хөтчийн суулгадаг тусгай JavaScript код нь нууц үг, хаяг гэх мэт текстийн хайрцагт бичсэн бүх зүйл зэрэг гадаад вэб сайттай харилцах бүрийг хянах боломжийг хоёр апп-д олгодог гэдгийг тэрээр анхаарууллаа.
"1 тэрбум идэвхтэй Instagram хэрэглэгчидтэй Instagram & Facebook апп-аас нээгдсэн гуравдагч этгээдийн вэбсайт бүрт хяналтын код оруулснаар Instagram цуглуулж чадах өгөгдлийн хэмжээ үнэхээр гайхалтай юм" гэж Краузе бичжээ.
Энэхүү нээлт Sumo Logic-ийн Аюулгүй байдлын ахлах ажилтан, мэдээллийн технологийн ахлах дэд ерөнхийлөгч Жорж Герчоуг гайхшруулсангүй.
Lifewire-д цахим шуудангаар ярихдаа Герчоу хэлэхдээ, нийгмийн сүлжээнүүд нь дэлхийн хамгийн хүчирхэг хиймэл оюун ухаан, машин сургалтын алгоритмуудтай бөгөөд энэ нь хүмүүсийг платформ дээрээ байлгах гэсэн мөнхийн оролдлоготой хослуулж чаддаг. жинхэнэ аюул.
"Apple энэ талаар мэдсэн ч олон нийтэд мэдээлэхийг хүсээгүй гэдэгт би маш их итгэж байна" гэж Герчов хэлээд "[Apple-ийн] Safari нь бас хамгийн аюулгүй хөтөч биш."
Тоглоом эхэлцгээе
Краузе кодын жинхэнэ зорилгыг олж мэдэхийн тулд шалгаж чадахгүй байсан ч програмууд ATT хязгаарлалтыг тойрон хэрхэн ажиллаж болохыг харуулсан. Яари энэ нь Apple-ийг босож, анхааралдаа авч, магадгүй апп доторх хөтчөөр дамжуулан хянах боломжийг хязгаарлах нэмэлт хязгаарлалтуудыг хэрэгжүүлэх ёстой гэж үзэж байна.
"Энэ бол хоёр компанийн тоглох муур хулгана тоглоомын эхлэл бөгөөд үр дүн нь салбарын томоохон үр дагавартай" гэж Яари хэлэв.
Echelon Risk + Cyber дахь Гуравдагч этгээдийн Эрсдэлийн удирдлагын үйлчилгээний захирал Том Гаррубба, Apple компанийг нууцлалын асуудлыг зөвхөн ойлголтоор нь биш, харин үйлдэл дээр нь кодлох, байршуулах замаар шийдвэрлэх талаар өөрийн дүр төрхийг ихээхэн сайжруулсан гэж үзэж байна.
"Аппликэйшн хөгжүүлэгчид "дизайнаар нууцлал"-ыг жигнэх шаардлагатайг сэрээхийн тулд шүүх хурал, муу PR ба/эсвэл хувийн нууцыг зөрчсөн тохиолдолд их хэмжээний торгууль ногдуулах шаардлагатай байж магадгүй юм. код боловсруулах, үйлчилгээ үзүүлэх бүх тал дээр "гэж Гаррубба Lifewire-д цахим шуудангаар ярьжээ. "Том технологийн идэвхгүй байдал нь шүүх хурал эсвэл том хэмжээний торгууль хүлээхэд хүргэнэ гэж би таамаглаж байна."
Энэ хооронд таны хувийн нууцыг хамгаалахын тулд Краузе апп-доторх хөтчөөс гарч, URL-г хуулж өөр гадаад хөтөч дээр нээхийг зөвлөж байна.
"Хүмүүс хамгийн багадаа ямар нэгэн эмзэг, нууц мэдээллийг оруулахын тулд апп-ын хөтчийг ашиглах ёсгүй" гэж Яари зөвлөж байна.
Гэсэн хэдий ч энэ нь хэрэглэгчийн туршлагыг илүү эвгүй байдалд оруулж болзошгүй тул олон хүн зан төлөвөө өөрчлөх магадлал багатай гэдгийг манай мэргэжилтнүүд хүлээн зөвшөөрч байна.
"Харамсалтай нь хүмүүсийн 99.9% нь "шууд таашаал авах" хэрэгцээ шаардлагаас болж зовж шаналж байгаа тул тэд энэ алхмыг алгасаад шууд үндсэн хөтөч дээрээ нээх болно" гэж Гаррубба хэлэв. "Энэ бол том технологийн хүссэн зүйл бөгөөд тэд хүссэн мэдээллээ авах магадлалтай."
