Princípios importantes
- Um pesquisador de segurança demonstrou que os aplicativos do Facebook e Instagram no iOS inserem um código personalizado ao abrir links em seus navegadores no aplicativo.
- O código burla as proteções de privacidade da Apple e pode ser usado para rastreá-lo também em sites de terceiros.
- Outros especialistas em segurança sugerem evitar o uso de navegadores no aplicativo e esperam que a Apple tome medidas para anular essa solução alternativa.
Novas pesquisas mostraram que a maioria dos aplicativos não usa o navegador padrão do smartphone para abrir links, o que poderia burlar os recursos de segurança e privacidade do sistema operacional.
Um pesquisador de segurança, Felix Krause, mostrou que os aplicativos do Meta para Instagram e Facebook no iOS adicionam algum código JavaScript a sites de terceiros quando você os visita usando o navegador personalizado do aplicativo. Os navegadores no aplicativo permitem que as pessoas acessem sites sem sair de seus aplicativos. O código inserido permite que os aplicativos rastreiem potencialmente todas as suas interações com sites externos, ignorando o recurso App Tracking Transparency (ATT) do iOS. A Apple adicionou a ATT especificamente para forçar os desenvolvedores de aplicativos a obter o consentimento das pessoas antes de rastrear dados gerados por terceiros.
"A solução alternativa do Instagram não é surpreendente", disse Lior Yaari, CEO e cofundador da startup de segurança cibernética Grip Security, à Lifewire por e-mail. "As restrições da Apple ameaçam o núcleo do modelo de negócios da empresa, então foi uma questão de adaptação [para] sobreviver."
Bata onde dói
A Meta admitiu abertamente que o recurso ATT estava custando cerca de US$ 10 bilhões por ano em receita publicitária.
Durante sua pesquisa, Krause descobriu que quando um usuário iOS dos aplicativos do Facebook e Instagram clica em um link nessas redes sociais, eles são abertos no navegador do aplicativo.
No mínimo, as pessoas não devem usar navegadores no aplicativo para inserir informações confidenciais.
Ele alertou que o código JavaScript personalizado que o navegador do aplicativo injeta permite que ambos os aplicativos rastreiem potencialmente cada interação com sites externos, incluindo tudo o que você digita em uma caixa de texto, como senhas e endereços.
"Com 1 bilhão de usuários ativos do Instagram, a quantidade de dados que o Instagram pode coletar injetando o código de rastreamento em todos os sites de terceiros abertos no aplicativo Instagram e Facebook é uma quantidade impressionante", escreveu Krause.
A descoberta não surpreende George Gerchow, diretor de segurança e vice-presidente sênior de TI da Sumo Logic.
Conversando com a Lifewire por e-mail, Gerchow disse que as redes de mídia social têm alguns dos mais poderosos algoritmos de inteligência artificial e aprendizado de máquina do mundo, que, quando combinados com sua eterna tentativa de fazer com que as pessoas permaneçam em suas plataformas, se tornam um perigo real.
"Acredito fortemente que a Apple sabia disso, mas não queria publicidade", disse Gerchow, acrescentando: "O Safari [da Apple] também não é o mais seguro dos navegadores."
Que comecem os jogos
Embora Krause não pudesse examinar o código para descobrir sua real intenção, ele demonstrou como os aplicativos poderiam contornar as restrições da ATT. Yaari acha que isso deve fazer a Apple se levantar, tomar conhecimento e talvez até implementar restrições adicionais para limitar o rastreamento por meio de navegadores no aplicativo.
"É o começo do jogo de gato e rato que as duas empresas vão jogar, com o resultado tendo grandes ramificações na indústria", disse Yaari.
Tom Garrubba, Diretor de Serviços de Gerenciamento de Risco de Terceiros da Echelon Risk + Cyber, acredita que a Apple parece ter melhorado muito sua imagem ao abordar questões de privacidade não apenas na percepção, mas na ação por meio de sua codificação e implantação.
"Talvez seja necessária uma ação coletiva, relações públicas ruins e/ou uma multa pesada por violações de privacidade para os desenvolvedores de aplicativos acordarem [para o fato] de que precisam criar 'privacidade por design' em todos os aspectos de desenvolvimento de código e entrega de serviços", disse Garrubba à Lifewire por e-mail. "Eu prevejo que a inação das grandes empresas de tecnologia levará isso a uma ação judicial ou multa pesada esperando para acontecer."
Enquanto isso, para proteger sua privacidade, Krause sugere sair do navegador do aplicativo e simplesmente copiar e colar o URL para abrir em outro navegador externo.
"No mínimo, as pessoas não devem usar navegadores no aplicativo para inserir qualquer informação sensível ou confidencial ", sugere Yaari.
No entanto, nossos especialistas reconhecem que é improvável que muitas pessoas realmente mudem seu comportamento, pois isso pode tornar a experiência do usuário mais inconveniente.
"Infelizmente, uma vez que 99,9% dos humanos sofrem com a necessidade de 'gratificação instantânea', eles vão pular esta etapa e abri-lo diretamente em seu navegador padrão", disse Garrubba. "Isso é claramente o que as grandes empresas de tecnologia querem, e provavelmente obterão os dados que desejam."
