Instagram ve Facebook iOS uygulamalarında görüntülenen tüm üçüncü taraf bağlantıları ve reklamlar, bir güvenlik araştırmacısı Felix Krause tarafından keşfedilen, uygulamalarda yerleşik olarak bulunan özel bir uygulama içi tarayıcı aracılığıyla oluşturulur.
Ana uygulama, kullanıcının harici bir web sitesiyle yaptığı her etkileşimi izleme yeteneğine sahip olduğundan, bunun kullanıcı için bir takım riskler oluşturduğu açıktır.
Ana şirket Meta aşağıdaki bilgileri takip edebilecektir:-
- Şifreler
- adresler
- Cep Numaraları
- Her bir dokunuş
- Metin seçimleri
- Ekran görüntüleri
- Kredi kartı numaraları
- banka kartı numaraları
Facebook ve Instagram’ın Amacı Nedir?
Aşağıda, Facebook ve Instagram’ın amaçlarından maddeler halinde bahsettik: –
- Instagram, harici web sitelerinin bağlantılarını görüntülemek için yerleşik Safari’yi kullanmak yerine, bunun yerine uygulama içinde harici web sitelerine bağlantılar oluşturur.
- Facebook veya Instagram’ın, kullanıcının bilgisi olmadan harici bir web sitesinde bir kullanıcının telefonuna giren her şeyi izlemesi riski vardır.
- Instagram ve Facebook uygulamaları, reklamlara tıkladığınızda görünenler de dahil olmak üzere görüntüledikleri tüm web sitelerine JavaScript kodu enjekte eder.
- Üçüncü taraf web sitelerinin, üçüncü taraf web sitelerinde özel komut dosyaları çalıştırarak tüm kullanıcı etkileşimlerini izlemesi mümkündür.
Uygulama İçi Tarayıcıların Riski
Apple, iOS 14.5 ve Apple tarafından 2021’de yayınlanan ATT (Uygulama İzleme Şeffaflığı) adı verilen bir özellik üzerinden izleme konusunda endişe duyan iOS kullanıcılarının endişelerini giderdi.
Geliştiriciye ait olmayan üçüncü taraf uygulamalar tarafından oluşturulan verileri izlemekten kaçınmak için yeni kontrol, uygulama geliştiricilerinin, onlar tarafından oluşturulan verileri izlemeden önce kullanıcılardan izin istemesini gerektiriyordu.
Web sitelerini uygulama içi tarayıcıda görüntülemek için, PCM.JS kodunun web sayfasına enjekte edilmesi ve ardından uygulama üzerinden görüntülenmesi gerekir. Burada, uygulama içi web sitesi içeriği ile ana bilgisayar uygulaması arasında iletişim kurmak için her iki uygulama da kodu kullanır ve kod, iki uygulama arasında bir köprü görevi görür.
İster Meta ister başka bir şirket tarafından sağlansın, uygulama içi tarayıcıların kullanımıyla ilişkili yüksek derecede gizlilik riski vardır.
Uygulama içi tarayıcı, kullanıcı kimlik bilgilerini, API anahtarlarını veya web sitelerinden reklam gelirini sifonlamak için yönlendirme bağlantılarını çalmak için de kullanılabilir; bu, firmaların, kullanıcıların kritik ve temel verilerine erişmek için bu güvenlik açığından yararlanmalarının başka bir yoludur.
Uygulama geliştiricileri, Meta tarafından açıklandığı gibi Apple’ın ATT kuralına uygun olarak bir Meta uygulamasında izleme yapmadan önce izin almalıdır. Meta’nın uygulama içi takibini devre dışı bırakma seçeneği, üçüncü taraf bir web sitesi tarafından Meta Piksel olarak adlandırılan şeyin kullanımına bağlıdır.
WhatsApp uygulaması söz konusu olduğunda, üçüncü taraf web sitelerine benzer bir hizmet sağlamaz.
Uzak Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Ücretsiz Teknik Dokümanı İndirin