ቁልፍ መውሰጃዎች
- የደህንነት ተመራማሪ ሁለቱም በ iOS ላይ ያሉ የፌስቡክ እና የኢንስታግራም መተግበሪያዎች የውስጠ-መተግበሪያ አሳሾች ውስጥ አገናኞችን ሲከፍቱ ብጁ ኮድ እንደሚያስገቡ አሳይተዋል።
- ኮዱ የአፕልን የግላዊነት ጥበቃዎች የሚያልፍ ሲሆን በሶስተኛ ወገን ድር ጣቢያዎች ላይም እርስዎን ለመከታተል ጥቅም ላይ ሊውል ይችላል።
- ሌሎች የደህንነት ባለሙያዎች የውስጠ-መተግበሪያ አሳሾችን ከመጠቀም እንዲቆጠቡ ይጠቁማሉ እና አፕል ይህንን መፍትሄ የሚያበላሹ እርምጃዎችን እንዲወስድ ይጠብቃሉ።
አዲስ ጥናት እንደሚያሳየው አብዛኞቹ አፕሊኬሽኖች የስማርትፎን ነባሪ የድር አሳሽ አይጠቀሙም ይህም የስርዓተ ክወናውን ደህንነት እና የግላዊነት ባህሪያትን ሊያልፍ ይችላል።
የደህንነት ተመራማሪው ፌሊክስ ክራውስ በiOS ላይ ያሉ የሜታ ኢንስታግራም እና ፌስቡክ መተግበሪያዎች የመተግበሪያውን ብጁ የውስጠ-መተግበሪያ አሳሽ ሲጎበኟቸው አንዳንድ የጃቫ ስክሪፕት ኮድ ወደ የሶስተኛ ወገን ድረ-ገጾች እንደሚያክሉ አሳይቷል። የውስጠ-መተግበሪያ አሳሾች ሰዎች መተግበሪያቸውን ሳይለቁ ድር ጣቢያዎችን እንዲጎበኙ ያስችላቸዋል። የገባው ኮድ መተግበሪያ የiOSን የመተግበሪያ መከታተያ ግልፅነት (ATT) ባህሪን በማለፍ ከውጫዊ ድረ-ገጾች ጋር ያለዎትን ግንኙነት እንዲከታተሉ ያስችላቸዋል። አፕል በሶስተኛ ወገኖች የመነጨውን ውሂብ ከመከታተል በፊት የመተግበሪያ ገንቢዎች የሰዎችን ፈቃድ እንዲያገኙ ለማስገደድ ATTን አክሏል።
"የኢንስታግራም መፍትሄ አያስገርምም"ሲሉ ዋና ስራ አስፈፃሚ እና የሳይበር ደህንነት ጅምር ግሪፕ ሴኩሪቲ መስራች ሊዮር ያሪ ለላይፍዋይር በኢሜል እንደተናገሩት። "የአፕል እገዳዎች የኩባንያውን የንግድ ሞዴል አስኳል ስጋት ላይ ይጥላሉ፣ ስለዚህ [ለመትረፍ] መላመድ ጉዳይ ነበር።"
የሚጎዳውን በመምታት
Meta የATT ባህሪ በአመት 10 ቢሊዮን ዶላር ከማስታወቂያ ገቢ እያስወጣ እንደነበር በግልፅ አምኗል።
በምርምርው ወቅት ክራውዝ የፌስቡክ እና ኢንስታግራም አፕሊኬሽኖች የአይኦኤስ ተጠቃሚ በእነዚህ ማህበራዊ አውታረ መረቦች ውስጥ ያለውን ሊንክ ጠቅ ሲያደርጉ በውስጠ-መተግበሪያ አሳሽ ውስጥ እንደሚከፈቱ አረጋግጧል።
ቢያንስ ሰዎች ማንኛውንም ሚስጥራዊነት ያለው ወይም ሚስጥራዊ መረጃ ለማስገባት የውስጠ-መተግበሪያ አሳሾችን መጠቀም የለባቸውም።
የውስጠ-መተግበሪያ አሳሹ የሚያስገባ ብጁ የጃቫ ስክሪፕት ኮድ ሁለቱም መተግበሪያዎች ከውጭ ድረ-ገጾች ጋር የሚያደርጉትን እያንዳንዱን ግንኙነት፣ እንደ የይለፍ ቃሎች እና አድራሻዎች ያሉ የጽሑፍ ሳጥን ውስጥ የሚተይቡትን ሁሉንም ነገር ጨምሮ እንዲከታተሉ ያስችላቸዋል ሲል አስጠንቅቋል።
"ከ1 ቢሊየን ንቁ የኢንስታግራም ተጠቃሚዎች ጋር ከኢንስታግራም እና ፌስቡክ መተግበሪያ በተከፈተው በእያንዳንዱ የሶስተኛ ወገን ድረ-ገጽ ላይ የመከታተያ ኮዱን በማስገባት ኢንስታግራም የሚሰበስበው የውሂብ መጠን አስገራሚ መጠን ነው" ሲል ክራውስ ጽፏል።
ግኝቱ የሱሞ ሎጂክ ዋና የደህንነት ሀላፊ እና የአይቲ ምክትል ፕሬዝዳንት ጆርጅ ጌርቾው አያስደንቃቸውም።
ከላይፍዋይር ጋር በኢሜል ሲናገር ጌርቾው እንዳሉት የማህበራዊ ሚዲያ አውታረ መረቦች በዓለም ላይ በጣም ኃይለኛ አርቴፊሻል ኢንተለጀንስ እና የማሽን መማሪያ ስልተ ቀመሮች አሏቸው። እውነተኛ አደጋ.
"አፕል ስለዚህ ጉዳይ እንደሚያውቅ አጥብቄ አምናለሁ ነገር ግን ይፋዊነቱን አልፈለገም" ሲል ጌርቾው ተናግሯል፣ "[አፕል] ሳፋሪ ከአሳሾችም የበለጠ ደህንነቱ የተጠበቀ አይደለም።"
ጨዋታዎቹ ይጀመሩ
ክራውስ ትክክለኛ ሀሳቡን ለማወቅ ኮዱን መመርመር ባይችልም፣ መተግበሪያዎች በATT ገደቦች ዙሪያ እንዴት እንደሚሰሩ አሳይቷል። ያሪ ይህ አፕል እንዲቆም፣ እንዲያስተውል እና ምናልባትም በውስጠ-መተግበሪያ አሳሾች መከታተልን ለመገደብ ተጨማሪ ገደቦችን መተግበር አለበት ብሎ ያስባል።
"ሁለቱ ኩባንያዎች የሚጫወቱት የድመት እና የአይጥ ጨዋታ ጅምር ነው፣ውጤቱም ትልቅ የኢንዱስትሪ ጠቀሜታዎች አሉት" ሲል ያሪ ተናግሯል።
በEchelon Risk + ሳይበር የሶስተኛ ወገን ስጋት አስተዳደር አገልግሎቶች ዳይሬክተር ቶም ጋርሩባ አፕል የግላዊነት ጉዳዮችን በአመለካከት ብቻ ሳይሆን በተግባር በኮድ አወጣጡ እና በማሰማራት ረገድ ምስሉን አሻሽሎታል ብሎ ያምናል።
"ምናልባት ለመተግበሪያ ገንቢዎች 'ግላዊነትን በንድፍ' መጋገር እንደሚያስፈልጋቸው ለመንቃት የክፍል-እርምጃ ክስ፣ መጥፎ PR እና/ወይም ለግላዊነት ጥሰት ከባድ ቅጣት ሊወስድባቸው ይችላል። በሁሉም የኮድ ልማት እና የአገልግሎት አሰጣጥ ዘርፎች፣ " ጋርሩባ ለላይፍዋይር በኢሜል ተናግሯል። "በትልልቅ ቴክኖሎጅ አለማድረግ ይህንን ወደ ክስ ወይም ከባድ ቅጣት እንደሚጠብቀው ተንብያለሁ።"
እስከዚያው ድረስ፣ ግላዊነትዎን ለመጠበቅ ክራውስ ከውስጠ-መተግበሪያ አሳሹ ለመውጣት እና በቀላሉ በሌላ ውጫዊ አሳሽ ለመክፈት ዩአርኤሉን ገልብጦ መለጠፍን ይጠቁማል።
"ቢያንስ ሰዎች ማንኛውንም ሚስጥራዊ ወይም ሚስጥራዊ መረጃ ለማስገባት የውስጠ-መተግበሪያ አሳሾችን መጠቀም የለባቸውም" ይላል ያሪ።
ይሁን እንጂ፣ ይህ የተጠቃሚውን የበለጠ ምቾት ሊያሳጣው ስለሚችል ብዙ ሰዎች በተጨባጭ ባህሪያቸውን ይለውጣሉ ተብሎ የማይታሰብ መሆኑን ባለሙያዎቻችን ይገነዘባሉ።
"በሚያሳዝን ሁኔታ፣ 99.9% የሚሆኑ ሰዎች 'ፈጣን እርካታ' ስለሚሰቃዩ፣ ይህን እርምጃ በመዝለል በነባሪ አሳሽ ውስጥ ይከፍቱታል" አለ ጋርሩባ። "ትልቅ ቴክኖሎጅ የሚፈልገው በግልፅ ይህ ነው፣ እና እነሱ የሚፈልጉትን ውሂብ ሊያገኙ ይችላሉ።"
