Conclusiones clave
- Un investigador de seguridad ha demostrado que las aplicaciones de Facebook e Instagram en iOS insertan un código personalizado al abrir enlaces en sus navegadores integrados.
- El código elude las protecciones de privacidad de Apple y también puede usarse para rastrearlo en sitios web de terceros.
- Otros expertos en seguridad sugieren evitar el uso de navegadores integrados en aplicaciones y esperan que Apple tome medidas para anular esta solución alternativa.
Una nueva investigación ha demostrado que la mayoría de las aplicaciones no utilizan el navegador web predeterminado del teléfono inteligente para abrir enlaces, lo que podría eludir las funciones de seguridad y privacidad del sistema operativo.
Un investigador de seguridad, Felix Krause, ha demostrado que las aplicaciones de Instagram y Facebook de Meta en iOS agregan código JavaScript a sitios web de terceros cuando los visita usando el navegador personalizado de la aplicación. Los navegadores integrados en aplicaciones permiten a las personas visitar sitios web sin salir de sus aplicaciones. El código insertado permite que las aplicaciones realicen un seguimiento potencial de todas sus interacciones con sitios web externos, sin pasar por la función Transparencia de seguimiento de aplicaciones (ATT) de iOS. Apple agregó ATT específicamente para obligar a los desarrolladores de aplicaciones a obtener el consentimiento de las personas antes de rastrear los datos generados por terceros.
"La solución alternativa de Instagram no es sorprendente", dijo Lior Yaari, director ejecutivo y cofundador de la empresa emergente de ciberseguridad Grip Security, a Lifewire por correo electrónico. "Las restricciones de Apple amenazan el núcleo del modelo comercial de la empresa, por lo que era cuestión de adaptarse [para] sobrevivir".
Golpear donde duele
Meta ha admitido abiertamente que la función ATT le estaba costando alrededor de $10 mil millones al año en ingresos publicitarios.
Durante su investigación, Krause descubrió que cuando un usuario de iOS de las aplicaciones de Facebook e Instagram hace clic en un enlace dentro de estas redes sociales, se abren en el navegador de la aplicación.
Como mínimo, las personas no deberían usar navegadores integrados en aplicaciones para ingresar información sensible o confidencial.
Advirtió que el código JavaScript personalizado que inyecta el navegador integrado en la aplicación permite que ambas aplicaciones rastreen potencialmente cada interacción con sitios web externos, incluido todo lo que escriba en un cuadro de texto, como contraseñas y direcciones.
"Con mil millones de usuarios activos de Instagram, la cantidad de datos que Instagram puede recopilar al inyectar el código de seguimiento en cada sitio web de terceros abierto desde la aplicación de Instagram y Facebook es una cantidad asombrosa", escribió Krause.
El descubrimiento no sorprende a George Gerchow, director de seguridad y vicepresidente senior de TI de Sumo Logic.
Hablando con Lifewire por correo electrónico, Gerchow dijo que las redes sociales tienen algunos de los algoritmos de inteligencia artificial y aprendizaje automático más poderosos del mundo, que, cuando se combinan con su eterno intento de hacer que las personas permanezcan en sus plataformas, se convierte en un verdadero peligro
"Creo firmemente que Apple sabía sobre esto pero no quería la publicidad", dijo Gerchow, y agregó: "Safari [de Apple] tampoco es el navegador más seguro".
Que comiencen los juegos
Si bien Krause no pudo examinar el código para descubrir su verdadera intención, sí demostró cómo las aplicaciones podrían evitar las restricciones de ATT. Yaari cree que esto debería hacer que Apple se ponga de pie, tome nota y tal vez incluso implemente restricciones adicionales para limitar el seguimiento a través de los navegadores integrados en la aplicación.
"Es el comienzo del juego del gato y el ratón que jugarán las dos compañías, y el resultado tendrá importantes ramificaciones en la industria", dijo Yaari.
Tom Garrubba, Director, Servicios de gestión de riesgos de terceros en Echelon Risk + Cyber, cree que Apple parece haber mejorado mucho su imagen al abordar los asuntos de privacidad no solo en la percepción sino también en la acción a través de su codificación e implementación.
"Quizás se requiera una demanda colectiva, malas relaciones públicas y/o una fuerte multa por violaciones de privacidad para que los desarrolladores de aplicaciones se den cuenta [del hecho] de que necesitan hornear 'privacidad por diseño' en todos los aspectos del desarrollo de código y la prestación de servicios", dijo Garrubba a Lifewire por correo electrónico. "Predigo que la inacción de las grandes tecnológicas conducirá a una demanda o a una fuerte sanción pendiente".
Mientras tanto, para salvaguardar su privacidad, Krause sugiere salir del navegador de la aplicación y simplemente copiar y pegar la URL para abrirla en otro navegador externo.
"Como mínimo, las personas no deberían usar navegadores integrados en aplicaciones para ingresar información sensible o confidencial", sugiere Yaari.
Sin embargo, nuestros expertos reconocen que es poco probable que muchas personas cambien su comportamiento, ya que esto podría hacer que la experiencia del usuario sea más incómoda.
"Lamentablemente, dado que el 99,9 % de los humanos sufren la necesidad de 'gratificación instantánea', se s altarán este paso y lo abrirán directamente en su navegador predeterminado", dijo Garrubba. "Esto es claramente lo que quiere la gran tecnología, y lo más probable es que obtengan los datos que quieren".