मुख्य तथ्य
- एक सुरक्षा शोधकर्ता ने दिखाया है कि आईओएस पर फेसबुक और इंस्टाग्राम दोनों ऐप अपने इन-ऐप ब्राउज़र में लिंक खोलते समय एक कस्टम कोड डालते हैं।
- कोड Apple की गोपनीयता सुरक्षा को दरकिनार करता है और संभावित रूप से इसका उपयोग आपको तृतीय-पक्ष वेबसाइटों पर भी ट्रैक करने के लिए किया जा सकता है।
- अन्य सुरक्षा विशेषज्ञ इन-ऐप ब्राउज़र के उपयोग से बचने का सुझाव देते हैं और उम्मीद करते हैं कि Apple इस समाधान को रद्द करने के लिए कदम उठाएगा।
नए शोध से पता चला है कि अधिकांश ऐप्स लिंक खोलने के लिए स्मार्टफोन के डिफ़ॉल्ट वेब ब्राउज़र का उपयोग नहीं करते हैं, जो संभावित रूप से ऑपरेटिंग सिस्टम की सुरक्षा और गोपनीयता सुविधाओं को बाधित कर सकता है।
एक सुरक्षा शोधकर्ता, फेलिक्स क्रॉस ने दिखाया है कि आईओएस पर मेटा के इंस्टाग्राम और फेसबुक ऐप ऐप के कस्टम इन-ऐप ब्राउज़र का उपयोग करके तृतीय-पक्ष वेबसाइटों पर जाने पर कुछ जावास्क्रिप्ट कोड जोड़ते हैं। इन-ऐप ब्राउज़र लोगों को अपने ऐप्स को छोड़े बिना वेबसाइटों पर जाने की अनुमति देते हैं। सम्मिलित कोड आईओएस की ऐप ट्रैकिंग ट्रांसपेरेंसी (एटीटी) सुविधा को दरकिनार करते हुए ऐप्स को बाहरी वेबसाइटों के साथ आपके सभी इंटरैक्शन को संभावित रूप से ट्रैक करने की अनुमति देता है। ऐप्पल ने एटीटी को विशेष रूप से ऐप डेवलपर्स को तीसरे पक्ष द्वारा उत्पन्न डेटा को ट्रैक करने से पहले लोगों की सहमति प्राप्त करने के लिए मजबूर करने के लिए जोड़ा।
"इंस्टाग्राम का वर्कअराउंड आश्चर्यजनक नहीं है," साइबर सुरक्षा स्टार्टअप ग्रिप सिक्योरिटी के सीईओ और सह-संस्थापक लियोर यारी ने ईमेल पर लाइफवायर को बताया। "Apple के प्रतिबंध कंपनी के व्यवसाय मॉडल के मूल के लिए खतरा हैं, इसलिए यह [को] जीवित रहने के लिए अनुकूलित करने की बात थी।"
जहां चोट लगती है वहीं मारना
मेटा ने खुले तौर पर स्वीकार किया है कि एटीटी सुविधा के कारण विज्ञापन राजस्व में प्रति वर्ष लगभग 10 बिलियन डॉलर खर्च हो रहे थे।
अपने शोध के दौरान, क्रॉस ने पाया कि जब फेसबुक और इंस्टाग्राम ऐप का एक आईओएस उपयोगकर्ता इन सामाजिक नेटवर्क के भीतर एक लिंक पर क्लिक करता है, तो वे इन-ऐप ब्राउज़र में खुल जाते हैं।
कम से कम, लोगों को किसी भी संवेदनशील या गोपनीय जानकारी को दर्ज करने के लिए इन-ऐप ब्राउज़र का उपयोग नहीं करना चाहिए।
उन्होंने चेतावनी दी कि कस्टम जावास्क्रिप्ट कोड इन-ऐप ब्राउज़र इंजेक्ट करता है, जिससे दोनों ऐप बाहरी वेबसाइटों के साथ हर एक इंटरैक्शन को संभावित रूप से ट्रैक कर सकते हैं, जिसमें वह सब कुछ शामिल है जो आप टेक्स्टबॉक्स में टाइप करते हैं जैसे पासवर्ड और पते।
"1 बिलियन सक्रिय Instagram उपयोगकर्ताओं के साथ, Instagram और Facebook ऐप से खोली गई प्रत्येक तृतीय पक्ष वेबसाइट में ट्रैकिंग कोड इंजेक्ट करके Instagram जितना डेटा एकत्र कर सकता है, वह एक चौंका देने वाली राशि है," Krause ने लिखा।
सूमो लॉजिक में आईटी के मुख्य सुरक्षा अधिकारी और वरिष्ठ उपाध्यक्ष जॉर्ज गेरचो की खोज से कोई आश्चर्य नहीं हुआ।
ईमेल पर लाइफवायर से बात करते हुए गेरचो ने कहा कि सोशल मीडिया नेटवर्क में दुनिया के कुछ सबसे शक्तिशाली आर्टिफिशियल इंटेलिजेंस और मशीन लर्निंग एल्गोरिदम हैं, जो लोगों को अपने प्लेटफॉर्म पर बने रहने के लिए उनके चिरस्थायी प्रयास के साथ मिलाते हैं, बन जाते हैं एक वास्तविक खतरा।
"मैं दृढ़ता से मानता हूं कि ऐप्पल इस बारे में जानता है लेकिन प्रचार नहीं चाहता था," गेरचो ने कहा, "[एप्पल की] सफारी ब्राउज़रों में सबसे सुरक्षित भी नहीं है।"
खेल शुरू होने दें
जबकि क्राउज़ अपने वास्तविक इरादे का पता लगाने के लिए कोड की जांच नहीं कर सका, उसने यह प्रदर्शित किया कि ऐप एटीटी प्रतिबंधों के आसपास कैसे काम कर सकते हैं। यारी को लगता है कि इससे ऐप्पल को खड़ा होना चाहिए, नोटिस लेना चाहिए, और शायद इन-ऐप ब्राउज़रों के माध्यम से ट्रैकिंग को सीमित करने के लिए अतिरिक्त प्रतिबंध भी लागू करना चाहिए।
"यह बिल्ली और चूहे के खेल की शुरुआत है, दोनों कंपनियां खेलेंगी, जिसके परिणाम प्रमुख उद्योग प्रभाव होंगे," यारी ने कहा।
इखेलॉन रिस्क + साइबर में थर्ड-पार्टी रिस्क मैनेजमेंट सर्विसेज के निदेशक टॉम गरुब्बा का मानना है कि ऐप्पल ने गोपनीयता के मामलों को न केवल धारणा में बल्कि इसके कोडिंग और परिनियोजन के माध्यम से कार्रवाई में अपनी छवि में काफी सुधार किया है।
"शायद यह एक क्लास-एक्शन मुकदमा, खराब पीआर, और/या एप्लिकेशन डेवलपर्स के लिए गोपनीयता उल्लंघन के लिए भारी जुर्माना लेगा [इस तथ्य के लिए] कि उन्हें 'डिजाइन द्वारा गोपनीयता' सेंकना चाहिए। कोड विकास और सेवा वितरण के सभी पहलुओं में, "गरुब्बा ने ईमेल पर लाइफवायर को बताया। "मैं भविष्यवाणी करता हूं कि बड़ी तकनीक द्वारा निष्क्रियता के कारण यह मुकदमा या भारी दंड के रूप में सामने आएगा।"
इस बीच, आपकी गोपनीयता को सुरक्षित रखने के लिए, क्राउज़ इन-ऐप ब्राउज़र से बाहर निकलने और किसी अन्य बाहरी ब्राउज़र में खोलने के लिए URL को कॉपी-पेस्ट करने का सुझाव देता है।
"यारी का सुझाव है," कम से कम, लोगों को किसी भी संवेदनशील या गोपनीय जानकारी को दर्ज करने के लिए इन-ऐप ब्राउज़र का उपयोग नहीं करना चाहिए।
हालांकि, हमारे विशेषज्ञ स्वीकार करते हैं कि इसकी संभावना नहीं है कि बहुत से लोग वास्तव में अपना व्यवहार बदलेंगे क्योंकि यह उपयोगकर्ता के अनुभव को और अधिक असुविधाजनक बना सकता है।
"दुर्भाग्य से, चूंकि 99.9% मनुष्य 'तत्काल संतुष्टि' की आवश्यकता से पीड़ित हैं, वे इस चरण को छोड़ देंगे और इसे अपने डिफ़ॉल्ट ब्राउज़र में खोल देंगे," गरुब्बा ने कहा। "यह स्पष्ट रूप से वही है जो बड़ी तकनीक चाहती है, और सबसे अधिक संभावना है कि उन्हें वह डेटा मिल जाएगा जो वे चाहते हैं।"