Facebook'un iOS Uygulamalarındaki Uygulama İçi Tarayıcısı, Herhangi Bir Web Sitesinde Yaptığınız Her Şeyi İzler

Instagram ve Facebook iOS uygulamalarında görüntülenen tüm üçüncü taraf bağlantıları ve reklamlar, bir güvenlik araştırmacısı Felix Krause tarafından keşfedilen, uygulamalarda zaten yerleşik olan özel bir uygulama içi tarayıcı aracılığıyla oluşturulur.

Ana bilgisayar uygulaması, kullanıcının harici bir web sitesiyle olan her bir etkileşimini izleme yeteneğine sahip olduğundan, bunun kullanıcı için bir takım riskler oluşturduğu açıktır.

Ana Şirket Meta Aşağıdaki Bilgileri İzleyebilir:

• Şifreler
• Adresler
• Cep Telefonu Numaraları
• Her bir dokunuş
• Metin seçimleri
• Ekran görüntüleri
• Kredi kartı numaraları
• Banka kartı numaraları

Facebook Ve Instagram'ın Amacı Ne?

Aşağıda, Facebook ve Instagram'ın amaçlarından bahsettik:

• Instagram, harici web sitelerine bağlantıları görüntülemek için yerleşik Safari'yi kullanmak yerine, uygulamanın içindeki harici web sitelerine bağlantılar oluşturur.
• Facebook veya Instagram'ın, kullanıcının bilgisi olmadan harici bir web sitesinde bir kullanıcının telefonunda bulunan her şeyi izleme riski vardır.
• Instagram ve Facebook uygulamaları, reklamlara tıkladığınızda görünenler de dahil olmak üzere görüntüledikleri tüm web sitelerine JavaScript kodu enjekte eder.
• Üçüncü taraf web sitelerinin, üçüncü taraf web sitelerinde özel komut dosyaları çalıştırarak tüm kullanıcı etkileşimlerini izlemesi mümkündür.

Uygulama İçi Tarayıcıların Riski

Apple, iOS 14.5 ve Apple tarafından 2021'de yayınlanan ATT (Uygulama İzleme Şeffaflığı) adlı bir özellik aracılığıyla izleme konusunda endişe duyan iOS kullanıcılarının endişelerini ele aldı.

Yeni denetim, geliştiriciye ait olmayan üçüncü taraf uygulamalar tarafından oluşturulan verilerin izlenmesini önlemek için uygulama geliştiricilerinin kullanıcılar tarafından oluşturulan verileri izlemeden önce kullanıcılardan izin istemesini gerektiriyordu.

Web sitelerini uygulama içi tarayıcıda görüntülemek için, PCM.JS kodu web sayfasına enjekte edilmeli ve ardından uygulama üzerinden görüntülenmelidir. Burada, uygulama içi web sitesi içeriği ile barındırma uygulaması arasında iletişim kurmak için her iki uygulama da kodu kullanır ve kod iki uygulama arasında bir köprü görevi görür.

Meta veya başka bir şirket tarafından sağlanmış olsun, uygulama içi tarayıcıların kullanımıyla ilişkili yüksek derecede gizlilik riski vardır.

Uygulama içi tarayıcı, kullanıcı kimlik bilgilerini, API anahtarlarını veya web sitelerinden reklam gelirini sifon etmek için yönlendirme bağlantılarını çalmak için de kullanılabilir; bu, firmaların kullanıcıların kritik ve temel verilerine erişmek için bu güvenlik deliğinden yararlanabilmelerinin başka bir yoludur.

Uygulama geliştiricileri, Meta tarafından açıklandığı gibi Apple'ın ATT kuralına uygun olarak bir Meta uygulamasında izlemeden önce izin almalıdır. Meta'nın uygulama içi takibini devre dışı bırakmayı seçme yeteneği, üçüncü taraf bir web sitesi tarafından Meta Pixel olarak adlandırılan şeyin kullanılmasına bağlıdır.

WhatsApp uygulaması söz konusu olduğunda, üçüncü taraf web sitelerine benzer bir hizmet sağlamaz.