Негизги алып салуулар
- Коопсуздук боюнча изилдөөчү iOS'тогу Facebook жана Instagram колдонмолору да колдонмодогу браузерлерде шилтемелерди ачып жатканда ыңгайлаштырылган кодду киргизерин көрсөттү.
- Код Apple'дин купуялык коргоолорун айланып өтөт жана сизге үчүнчү тараптын вебсайттарында да көз салуу үчүн колдонулушу мүмкүн.
- Башка коопсуздук адистери колдонмодогу серепчилерди колдонуудан качууну сунушташат жана Apple бул убактылуу чечимди жокко чыгаруу үчүн чараларды көрөт деп күтүшөт.
Жаңы изилдөөлөр көрсөткөндөй, колдонмолордун көпчүлүгү смартфондун демейки веб-браузерин шилтемелерди ачуу үчүн колдонбойт, бул операциялык тутумдун коопсуздук жана купуялык функцияларын айланып өтүшү мүмкүн.
Коопсуздук боюнча изилдөөчү Феликс Краузе Meta компаниясынын iOS'тагы Instagram жана Facebook колдонмолору үчүнчү тараптын веб-сайттарына колдонмонун ыңгайлаштырылган колдонмодогу серепчиси аркылуу киргениңизде аларга JavaScript кодун кошо турганын көрсөттү. Колдонмодогу браузерлер адамдарга колдонмолорунан чыкпай туруп веб-сайттарга кирүүгө мүмкүнчүлүк берет. Киргизилген код колдонмолорго iOS'тун Колдонмого көз салуу ачыктыгын (ATT) өзгөчөлүгүн айланып өтүп, тышкы веб-сайттар менен болгон бардык аракеттериңизге көз салууга мүмкүндүк берет. Apple үчүнчү тараптар тарабынан түзүлгөн дайындарга көз салуудан мурун колдонмолорду иштеп чыгуучуларды адамдардын макулдугун алууга мажбурлоо үчүн атайын ATT кошту.
"Инстаграмдын убактылуу чечими таң калыштуу эмес", - деди Лиор Яари, Grip Security киберкоопсуздук стартапынын башкы директору жана негиздөөчүсү Lifewire электрондук почтасы аркылуу. "Apple'дин чектөөлөрү компаниянын бизнес моделинин негизги бөлүгүнө коркунуч туудурат, ошондуктан аман калууга көнүү маселеси болду."
Ооруган жерине тийүү
Meta ATT функциясынын жарнамадан түшкөн кирешеси жылына 10 миллиард долларга жакын чыгымга учураганын ачык мойнуна алды.
Изилдөө учурунда Краузе Facebook жана Instagram колдонмолорунун iOS колдонуучусу бул социалдык тармактардагы шилтемени чыкылдатканда, алар колдонмодогу браузерде ачылаарын аныктады.
Кишилер эч кандай купуя же купуя маалыматты киргизүү үчүн колдонмодогу серепчилерди колдонбошу керек.
Ал колдонмодогу серепчи киргизген ыңгайлаштырылган JavaScript коду эки колдонмого тең тышкы вебсайттар менен болгон ар бир аракетке, анын ичинде сырсөздөр жана даректер сыяктуу текст кутусуна терген нерселериңизге көз салууга мүмкүнчүлүк берерин эскертти.
"Инстаграмдын 1 миллиард активдүү колдонуучулары менен Instagram жана Facebook тиркемесинде ачылган ар бир үчүнчү тараптын веб-сайтына байкоо кодун киргизүү аркылуу Instagram чогулта ала турган маалыматтардын көлөмү укмуштуудай чоң сумма ", - деп жазган Краузе.
Бул ачылыш Sumo Logic компаниясынын коопсуздук боюнча башкы адиси жана IT боюнча улук вице-президенти Джордж Герчовду таң калтырган жок.
Электрондук почта аркылуу Lifewire менен маек куруп жатып, Герчов социалдык медиа тармактарында дүйнөдөгү эң күчтүү жасалма интеллект жана машина үйрөнүү алгоритмдери бар экенин айтты. чыныгы коркунуч.
"Мен Apple бул тууралуу билгенине ишенем, бирок коомчулукка жарыяланышын каалабайм", - деди Герчов, "[Apple's] Safari да браузерлердин эң коопсузу эмес."
Оюндар башталсын
Краузе кодду анын чыныгы ниетин аныктоо үчүн текшере албаса да, ал колдонмолор ATT чектөөлөрүнүн айланасында кантип иштей аларын көрсөттү. Яаринин ою боюнча, бул Apple'ди тикесинен тиктеп, байкап, ал тургай, колдонмодогу браузерлер аркылуу көз салууну чектөө үчүн кошумча чектөөлөрдү киргизиши керек.
"Бул эки компания ойной турган мышык менен чычкан оюнунун башталышы, анын жыйынтыгында негизги тармактык натыйжалар болот" деди Яари.
Том Гаррубба, Echelon Risk + Cyber компаниясынын Үчүнчү Тарап Тобокелдиктерин Башкаруу Кызматтарынын директору, Apple купуялык маселелерин кабыл алууда эле эмес, иш жүзүндө коддоо жана жайылтуу аркылуу чечүүдө өзүнүн имиджин бир топ жакшыртты окшойт деп эсептейт.
"Балким, бул үчүн класстык доо, жаман пиар жана/же купуялуулукту бузгандыгы үчүн чоң айып пул талап кылынышы мүмкүн. Колдонмонун иштеп чыгуучулары алар "дизайн боюнча купуялыкты" иштетиши керек [фактына] ойгонушу үчүн кодду иштеп чыгуунун жана кызмат көрсөтүүнүн бардык аспектилерин камтыйт ", - деди Гаррубба Lifewire электрондук почта аркылуу. "Чоң технологиянын аракетсиздиги муну сотко же чоң жазага алып келет деп болжолдойм."
Ал ортодо купуялыгыңызды коргоо үчүн Краузе колдонмодогу серепчиден чыгып, башка тышкы браузерде ачуу үчүн URL'ди көчүрүп чаптоону сунуштайт.
"Жок дегенде адамдар кандайдыр бир купуя же купуя маалыматты киргизүү үчүн колдонмодогу браузерлерди колдонбошу керек", - дейт Яари.
Бирок биздин эксперттер көп адамдардын жүрүм-турумун өзгөртүшү күмөн экенин моюнга алышат, анткени бул колдонуучуга ыңгайсыздык жаратышы мүмкүн.
"Өкүнүчтүүсү, адамдардын 99,9%ы "тез канааттануу" муктаждыгынан жапа чеккендиктен, алар бул кадамды өткөрүп жиберип, аны демейки браузерде ачышат ", - деди Гаррубба. "Чоң технология ушул нерсени каалайт жана алар өздөрү каалаган маалыматты алышат."
