Mary Villareal
Νέα έρευνα αποκάλυψε ότι οι πλατφόρμες κοινωνικών μέσων Meta, Instagram και Tiktok μπορούν να αποκτήσουν πρόσβαση στις προσωπικές πληροφορίες των χρηστών όταν εισάγονται στο πρόγραμμα περιήγησης εντός της εφαρμογής.
Ο μηχανικός λογισμικού και ερευνητής ασφάλειας Felix Krause εξέτασε την κωδικοποίηση που είναι ενσωματωμένη στο Tiktok, την υποδομή της εφαρμογής κινεζικής παραγωγής, γεγονός που οδήγησε σε αυτή την αποκάλυψη. Οι χρήστες που κάνουν κλικ σε συνδέσμους στο Tiktok οδηγούνται σε ένα εγγενές πρόγραμμα περιήγησης εντός της εφαρμογής που παρήγαγαν και όχι σε προεπιλεγμένα προγράμματα περιήγησης όπως το Safari ή το Google Chrome.
Ο κώδικας JavaScript στο πρόγραμμα περιήγησης εντός της εφαρμογής του Tiktok μπορεί επίσης να επιτρέψει στην εταιρεία την πρόσβαση σε κάθε ενέργεια που πραγματοποιείται στην οθόνη, συμπεριλαμβανομένων των κωδικών πρόσβασης ή των πληροφοριών πιστωτικής κάρτας.
Παρόλο που η Tiktok δεν έχει ενεργοποιήσει τη λειτουργία αυτή προς το παρόν, η υποδομή εξακολουθεί να υπάρχει. Ο Krause εξήγησε ότι το πρόβλημα είναι ότι η εταιρεία διαθέτει την υποδομή και τα συστήματα για να μπορεί να παρακολουθεί τις πληκτρολογήσεις.
Ένας εκπρόσωπος της Tiktok δήλωσε ότι ο κώδικας υπάρχει για σκοπούς "εντοπισμού σφαλμάτων, αντιμετώπισης προβλημάτων και παρακολούθησης επιδόσεων", προσθέτοντας ότι δεν συλλέγουν πληκτρολογήσεις ή εισόδους κειμένου μέσω του κώδικα, ο οποίος χρησιμοποιείται αποκλειστικά για τις προαναφερθείσες διαδικασίες. (Σχετικά: Οι εφαρμογές μηνυμάτων και κλήσης Android στέλνουν αθόρυβα δεδομένα στην Google, σύμφωνα με έκθεση).
Αφού εξέτασε τον κώδικα για το Instagram, ο Krause κατέληξε σε παρόμοιο συμπέρασμα, λέγοντας ότι η υποδομή της πλατφόρμας είναι επίσης σε θέση να καταγράφει τα πατήματα του τηλεφώνου και τα κλικ σε εικόνες.
Όταν οι χρήστες του Instagram κάνουν κλικ σε συνδέσμους στην εφαρμογή, μεταφέρονται επίσης σε ένα πρόγραμμα περιήγησης εντός της εφαρμογής που θα μπορούσε να παρακολουθεί ευαίσθητες και προσωπικές πληροφορίες. Η Meta λειτουργεί με παρόμοιο τρόπο και στο πρόγραμμα περιήγησης εντός της εφαρμογής της.
Ο μηχανικός λογισμικού και ερευνητής ασφάλειας Felix Krause εξέτασε την κωδικοποίηση που είναι ενσωματωμένη στο Tiktok, την υποδομή της εφαρμογής κινεζικής παραγωγής, γεγονός που οδήγησε σε αυτή την αποκάλυψη. Οι χρήστες που κάνουν κλικ σε συνδέσμους στο Tiktok οδηγούνται σε ένα εγγενές πρόγραμμα περιήγησης εντός της εφαρμογής που παρήγαγαν και όχι σε προεπιλεγμένα προγράμματα περιήγησης όπως το Safari ή το Google Chrome.
Ο κώδικας JavaScript στο πρόγραμμα περιήγησης εντός της εφαρμογής του Tiktok μπορεί επίσης να επιτρέψει στην εταιρεία την πρόσβαση σε κάθε ενέργεια που πραγματοποιείται στην οθόνη, συμπεριλαμβανομένων των κωδικών πρόσβασης ή των πληροφοριών πιστωτικής κάρτας.
Παρόλο που η Tiktok δεν έχει ενεργοποιήσει τη λειτουργία αυτή προς το παρόν, η υποδομή εξακολουθεί να υπάρχει. Ο Krause εξήγησε ότι το πρόβλημα είναι ότι η εταιρεία διαθέτει την υποδομή και τα συστήματα για να μπορεί να παρακολουθεί τις πληκτρολογήσεις.
Ένας εκπρόσωπος της Tiktok δήλωσε ότι ο κώδικας υπάρχει για σκοπούς "εντοπισμού σφαλμάτων, αντιμετώπισης προβλημάτων και παρακολούθησης επιδόσεων", προσθέτοντας ότι δεν συλλέγουν πληκτρολογήσεις ή εισόδους κειμένου μέσω του κώδικα, ο οποίος χρησιμοποιείται αποκλειστικά για τις προαναφερθείσες διαδικασίες. (Σχετικά: Οι εφαρμογές μηνυμάτων και κλήσης Android στέλνουν αθόρυβα δεδομένα στην Google, σύμφωνα με έκθεση).
Αφού εξέτασε τον κώδικα για το Instagram, ο Krause κατέληξε σε παρόμοιο συμπέρασμα, λέγοντας ότι η υποδομή της πλατφόρμας είναι επίσης σε θέση να καταγράφει τα πατήματα του τηλεφώνου και τα κλικ σε εικόνες.
Όταν οι χρήστες του Instagram κάνουν κλικ σε συνδέσμους στην εφαρμογή, μεταφέρονται επίσης σε ένα πρόγραμμα περιήγησης εντός της εφαρμογής που θα μπορούσε να παρακολουθεί ευαίσθητες και προσωπικές πληροφορίες. Η Meta λειτουργεί με παρόμοιο τρόπο και στο πρόγραμμα περιήγησης εντός της εφαρμογής της.
Ωστόσο, ένας εκπρόσωπος της Meta διέψευσε ότι συλλέγονται προσωπικές πληροφορίες.
"Χρησιμοποιούμε προγράμματα περιήγησης εντός της εφαρμογής για να επιτρέψουμε ασφαλείς, βολικές και αξιόπιστες εμπειρίες, όπως για παράδειγμα να διασφαλίσουμε ότι η αυτόματη συμπλήρωση συμπληρώνεται σωστά ή να αποτρέψουμε την ανακατεύθυνση των ανθρώπων σε κακόβουλους ιστότοπους. Η προσθήκη οποιουδήποτε από αυτά τα είδη χαρακτηριστικών απαιτεί πρόσθετο κώδικα. Έχουμε σχεδιάσει προσεκτικά αυτές τις εμπειρίες ώστε να σέβονται τις επιλογές απορρήτου των χρηστών, συμπεριλαμβανομένου του τρόπου με τον οποίο τα δεδομένα μπορούν να χρησιμοποιηθούν για διαφημίσεις", δήλωσε ο εκπρόσωπος.
"Χρησιμοποιούμε προγράμματα περιήγησης εντός της εφαρμογής για να επιτρέψουμε ασφαλείς, βολικές και αξιόπιστες εμπειρίες, όπως για παράδειγμα να διασφαλίσουμε ότι η αυτόματη συμπλήρωση συμπληρώνεται σωστά ή να αποτρέψουμε την ανακατεύθυνση των ανθρώπων σε κακόβουλους ιστότοπους. Η προσθήκη οποιουδήποτε από αυτά τα είδη χαρακτηριστικών απαιτεί πρόσθετο κώδικα. Έχουμε σχεδιάσει προσεκτικά αυτές τις εμπειρίες ώστε να σέβονται τις επιλογές απορρήτου των χρηστών, συμπεριλαμβανομένου του τρόπου με τον οποίο τα δεδομένα μπορούν να χρησιμοποιηθούν για διαφημίσεις", δήλωσε ο εκπρόσωπος.
Κίνδυνοι από τα προγράμματα περιήγησης εντός εφαρμογών
Ο Krause, ο οποίος είναι επίσης ο ιδρυτής της Fastlane, μιας πλατφόρμας δοκιμών για εφαρμογές Android και iOS που εξαγοράστηκε από την Google πριν από πέντε χρόνια, δήλωσε ότι εξετάζει τους κινδύνους των in-app browsers εδώ και αρκετά χρόνια. Ωστόσο, η αυξημένη χρήση των εταιρειών Big Tech τον ώθησε να εξετάσει τον κώδικα πίσω από κάθε πλατφόρμα.
Στη συνέχεια, δημοσίευσε μια έκθεση σχετικά με τα ευρήματά του, αφού δημιούργησε ένα εργαλείο ασφαλείας, που ονομάζεται InAppBrowser.com, για να μπορεί ο καθένας να δει ποιες εφαρμογές μπορούν να τον παρακολουθούν όταν χρησιμοποιεί προγράμματα περιήγησης εντός εφαρμογών.
Μέχρι στιγμής, μπορεί να αναγνωρίσει ποιες εφαρμογές όπως το Tiktok, το Instagram και το Meta μπορούν να παρακολουθούν, αλλά δεν είναι ακόμη σε θέση να επισημάνει συγκεκριμένα δεδομένα που κάθε εφαρμογή επιλέγει να συλλέγει, να μεταφέρει ή να χρησιμοποιεί. (Σχετικά: Μελέτη: Πολλές εφαρμογές υγείας μοιράζονται ευαίσθητα ιατρικά δεδομένα με τρίτους, αφήνοντας τους ασθενείς σε κίνδυνο πιθανής απώλειας της ιδιωτικής τους ζωής).
Το InAppBrowser.com μπορεί επίσης να βρει εντολές ενσωματωμένες στον κώδικα, αλλά η πλήρης έκταση του τι εφαρμόζουν οι εφαρμογές ή τι μπορούν να κάνουν οι ιστότοποι τρίτων είναι άγνωστη λόγω της ενημέρωσης iOS 14.3 τον Δεκέμβριο του 2020, όπου ορισμένες εντολές JavaScript μπορεί να μην είναι ανιχνεύσιμες.
Ο Bruce Davie, κορυφαίος επιστήμονας πληροφορικής και συνιδρυτής της Systems Approach, δήλωσε ότι η συμπεριφορά των εφαρμογών αυτής της φύσης υπονομεύει την εμπιστοσύνη των χρηστών στο ηλεκτρονικό εμπόριο.
"Είναι ανησυχητικό να βλέπουμε πόσες πληροφορίες μπορούν να παρακολουθούνται που οι άνθρωποι δεν γνωρίζουν -συμπεριλαμβανομένης ενδεχομένως οποιασδήποτε αλληλεπίδρασης του χρήστη με έναν ιστότοπο", δήλωσε, προσθέτοντας ότι το ζήτημα φαίνεται να είναι ευρέως διαδεδομένο, με τον κώδικα παρακολούθησης να παρατηρείται στο Facebook, το Instagram και το Tiktok.
Ο Krause σημείωσε επίσης ότι οι εφαρμογές που βρίσκονται στα σπάργανα χρησιμοποιούν αυτού του είδους τα δεδομένα για την εύρεση σφαλμάτων και την αποσφαλμάτωση πριν από την κλιμάκωση. Συνήθως αργότερα διαγράφουν τη λειτουργικότητα, αλλά το Tiktok φαίνεται ότι δεν το έκανε.
"Αυτές [οι δυνατότητες παρακολούθησης δεδομένων] δεν θα έπρεπε να καταλήγουν στην τελική έκδοση της εφαρμογής που έχει χρησιμοποιηθεί από εκατομμύρια ανθρώπους", δήλωσε ο Krause. "Αυτό δεν είναι κάτι που συμβαίνει κατά λάθος, ειδικά σε μια εταιρεία αυτού του μεγέθους".
Επισκεφθείτε το BigTech.news για περισσότερες πληροφορίες σχετικά με τα ζητήματα προστασίας της ιδιωτικής ζωής στους ιστότοπους κοινωνικής δικτύωσης.
Παρακολουθήστε το παρακάτω βίντεο σχετικά με το γιατί η ψηφιακή ιδιωτικότητα είναι μια ψευδαίσθηση.
Ο Krause, ο οποίος είναι επίσης ο ιδρυτής της Fastlane, μιας πλατφόρμας δοκιμών για εφαρμογές Android και iOS που εξαγοράστηκε από την Google πριν από πέντε χρόνια, δήλωσε ότι εξετάζει τους κινδύνους των in-app browsers εδώ και αρκετά χρόνια. Ωστόσο, η αυξημένη χρήση των εταιρειών Big Tech τον ώθησε να εξετάσει τον κώδικα πίσω από κάθε πλατφόρμα.
Στη συνέχεια, δημοσίευσε μια έκθεση σχετικά με τα ευρήματά του, αφού δημιούργησε ένα εργαλείο ασφαλείας, που ονομάζεται InAppBrowser.com, για να μπορεί ο καθένας να δει ποιες εφαρμογές μπορούν να τον παρακολουθούν όταν χρησιμοποιεί προγράμματα περιήγησης εντός εφαρμογών.
Μέχρι στιγμής, μπορεί να αναγνωρίσει ποιες εφαρμογές όπως το Tiktok, το Instagram και το Meta μπορούν να παρακολουθούν, αλλά δεν είναι ακόμη σε θέση να επισημάνει συγκεκριμένα δεδομένα που κάθε εφαρμογή επιλέγει να συλλέγει, να μεταφέρει ή να χρησιμοποιεί. (Σχετικά: Μελέτη: Πολλές εφαρμογές υγείας μοιράζονται ευαίσθητα ιατρικά δεδομένα με τρίτους, αφήνοντας τους ασθενείς σε κίνδυνο πιθανής απώλειας της ιδιωτικής τους ζωής).
Το InAppBrowser.com μπορεί επίσης να βρει εντολές ενσωματωμένες στον κώδικα, αλλά η πλήρης έκταση του τι εφαρμόζουν οι εφαρμογές ή τι μπορούν να κάνουν οι ιστότοποι τρίτων είναι άγνωστη λόγω της ενημέρωσης iOS 14.3 τον Δεκέμβριο του 2020, όπου ορισμένες εντολές JavaScript μπορεί να μην είναι ανιχνεύσιμες.
Ο Bruce Davie, κορυφαίος επιστήμονας πληροφορικής και συνιδρυτής της Systems Approach, δήλωσε ότι η συμπεριφορά των εφαρμογών αυτής της φύσης υπονομεύει την εμπιστοσύνη των χρηστών στο ηλεκτρονικό εμπόριο.
"Είναι ανησυχητικό να βλέπουμε πόσες πληροφορίες μπορούν να παρακολουθούνται που οι άνθρωποι δεν γνωρίζουν -συμπεριλαμβανομένης ενδεχομένως οποιασδήποτε αλληλεπίδρασης του χρήστη με έναν ιστότοπο", δήλωσε, προσθέτοντας ότι το ζήτημα φαίνεται να είναι ευρέως διαδεδομένο, με τον κώδικα παρακολούθησης να παρατηρείται στο Facebook, το Instagram και το Tiktok.
Ο Krause σημείωσε επίσης ότι οι εφαρμογές που βρίσκονται στα σπάργανα χρησιμοποιούν αυτού του είδους τα δεδομένα για την εύρεση σφαλμάτων και την αποσφαλμάτωση πριν από την κλιμάκωση. Συνήθως αργότερα διαγράφουν τη λειτουργικότητα, αλλά το Tiktok φαίνεται ότι δεν το έκανε.
"Αυτές [οι δυνατότητες παρακολούθησης δεδομένων] δεν θα έπρεπε να καταλήγουν στην τελική έκδοση της εφαρμογής που έχει χρησιμοποιηθεί από εκατομμύρια ανθρώπους", δήλωσε ο Krause. "Αυτό δεν είναι κάτι που συμβαίνει κατά λάθος, ειδικά σε μια εταιρεία αυτού του μεγέθους".
Επισκεφθείτε το BigTech.news για περισσότερες πληροφορίες σχετικά με τα ζητήματα προστασίας της ιδιωτικής ζωής στους ιστότοπους κοινωνικής δικτύωσης.
Παρακολουθήστε το παρακάτω βίντεο σχετικά με το γιατί η ψηφιακή ιδιωτικότητα είναι μια ψευδαίσθηση.
________________________________
Μετάφραση ΕΘΝΕΓΕΡΣΙΣ
«Πᾶνος»
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου