Key Takeaways
- Seorang peneliti keamanan telah menunjukkan bahwa aplikasi Facebook dan Instagram di iOS menyisipkan kode khusus saat membuka tautan di browser dalam aplikasi mereka.
- Kode ini menghindari perlindungan privasi Apple dan berpotensi digunakan untuk melacak Anda di situs web pihak ketiga juga.
- Pakar keamanan lainnya menyarankan untuk menghindari penggunaan browser dalam aplikasi dan mengharapkan Apple mengambil langkah untuk membatalkan solusi ini.
Penelitian baru menunjukkan bahwa sebagian besar aplikasi tidak menggunakan browser web default ponsel cerdas untuk membuka tautan, yang dapat berpotensi mengakali fitur keamanan dan privasi sistem operasi.
Seorang peneliti keamanan, Felix Krause, telah menunjukkan bahwa aplikasi Instagram dan Facebook Meta di iOS menambahkan beberapa kode JavaScript ke situs web pihak ketiga saat Anda mengunjunginya menggunakan browser dalam aplikasi khusus aplikasi. Browser dalam aplikasi memungkinkan orang mengunjungi situs web tanpa meninggalkan aplikasi mereka. Kode yang dimasukkan memungkinkan aplikasi untuk berpotensi melacak semua interaksi Anda dengan situs web eksternal, melewati fitur Transparansi Pelacakan Aplikasi (ATT) iOS. Apple menambahkan ATT secara khusus untuk memaksa pengembang aplikasi mendapatkan persetujuan orang sebelum melacak data yang dihasilkan oleh pihak ketiga.
"Pemecahan masalah Instagram tidak mengejutkan," Lior Yaari, CEO dan salah satu pendiri startup keamanan siber Grip Security, mengatakan kepada Lifewire melalui email. "Pembatasan Apple mengancam inti dari model bisnis perusahaan, jadi ini adalah masalah beradaptasi [untuk] bertahan."
Memukul Di Tempat Yang Sakit
Meta secara terbuka mengakui bahwa fitur ATT menghabiskan pendapatan iklan sekitar $10 miliar per tahun.
Selama penelitiannya, Krause menemukan bahwa ketika pengguna iOS dari aplikasi Facebook dan Instagram mengklik tautan dalam jejaring sosial ini, tautan tersebut dibuka di browser dalam aplikasi.
Setidaknya, orang tidak boleh menggunakan browser dalam aplikasi untuk memasukkan informasi sensitif atau rahasia apa pun.
Dia memperingatkan bahwa kode JavaScript khusus yang dimasukkan browser dalam aplikasi memungkinkan kedua aplikasi untuk berpotensi melacak setiap interaksi tunggal dengan situs web eksternal, termasuk semua yang Anda ketik ke dalam kotak teks seperti kata sandi dan alamat.
"Dengan 1 Miliar pengguna aktif Instagram, jumlah data yang dapat dikumpulkan Instagram dengan menyuntikkan kode pelacakan ke setiap situs web pihak ketiga yang dibuka dari aplikasi Instagram & Facebook adalah jumlah yang mengejutkan," tulis Krause.
Penemuan ini tidak mengejutkan George Gerchow, Chief Security Officer dan Senior Vice President IT di Sumo Logic.
Berbicara dengan Lifewire melalui email, Gerchow mengatakan jaringan media sosial memiliki beberapa kecerdasan buatan dan algoritma pembelajaran mesin yang paling kuat di dunia, yang bila dikombinasikan dengan upaya abadi mereka untuk membuat orang tetap berada di platform mereka, menjadi bahaya yang nyata.
"Saya sangat yakin bahwa Apple telah mengetahui hal ini tetapi tidak menginginkan publisitas," kata Gerchow, menambahkan, "Safari [Apple] juga bukan browser yang paling aman."
Biarkan Permainan Dimulai
Sementara Krause tidak dapat memeriksa kode untuk mengetahui maksud sebenarnya, dia mendemonstrasikan bagaimana aplikasi dapat mengatasi pembatasan ATT. Yaari berpikir ini seharusnya membuat Apple berdiri, memperhatikan, dan bahkan mungkin menerapkan batasan tambahan untuk membatasi pelacakan melalui browser dalam aplikasi.
"Ini adalah awal dari permainan kucing dan tikus yang akan dimainkan kedua perusahaan, dengan hasil yang memiliki konsekuensi industri besar," kata Yaari.
Tom Garrubba, Direktur, Layanan Manajemen Risiko Pihak Ketiga di Echelon Risk + Cyber, percaya bahwa Apple tampaknya telah meningkatkan citranya dalam menangani masalah privasi tidak hanya dalam persepsi tetapi juga dalam tindakan melalui pengkodean dan penerapannya.
"Mungkin perlu gugatan class action, PR yang buruk, dan/atau denda yang besar untuk pelanggaran privasi bagi pengembang aplikasi untuk menyadari [kenyataan] bahwa mereka perlu membuat 'privacy by design' ke dalam semua aspek pengembangan kode dan pengiriman layanan, "kata Garrubba kepada Lifewire melalui email. "Saya memperkirakan kelambanan oleh teknologi besar akan membawa ini ke tuntutan hukum atau hukuman berat yang menunggu untuk terjadi."
Sementara itu, untuk menjaga privasi Anda, Krause menyarankan untuk keluar dari browser dalam aplikasi dan cukup salin-tempel URL untuk dibuka di browser eksternal lain.
"Setidaknya, orang tidak boleh menggunakan browser dalam aplikasi untuk memasukkan informasi sensitif atau rahasia apa pun," saran Yaari.
Namun, para ahli kami mengakui bahwa kecil kemungkinan banyak orang akan benar-benar mengubah perilaku mereka karena hal ini dapat membuat pengalaman pengguna menjadi lebih tidak nyaman.
"Sayangnya, karena 99,9% manusia membutuhkan 'kepuasan instan', mereka akan melewatkan langkah ini dan membukanya langsung di browser default mereka," kata Garrubba. "Ini jelas yang diinginkan oleh teknologi besar, dan kemungkinan besar mereka akan mendapatkan data yang mereka inginkan."