Folosirea browserelor în aplicație nu este o idee bună, a dezvăluit cercetătorul de securitate Felix Krause. De fapt, studiul său a dezvăluit că unele aplicații, cum ar fi Instagram și Facebook, injectează cod JavaScript în site-uri web ale unor terțe părți, provocând potențiale riscuri de securitate și confidențialitate pentru utilizatori.
Dar acum Krause a arătat cum TikTok merge mai departe, instalând echivalentul unui keylogger cu drepturi depline care înregistrează tot ce tastați, parolele, numerele cărților de credit și chiar atingerile pe ecran.
Utilizarea browserelor în aplicație este o idee proastă, dar cum să te aperi?
Problema de bază constă în faptul că aplicațiile în cauză injectează cod JavaScript în site-uri web externe încărcate în browserele lor în aplicație, oferind aplicațiilor posibilitatea de a urmări activitatea utilizatorilor. Acest lucru ar putea prezenta riscuri de confidențialitate, deoarece dacă o companie poate accesa datele utilizatorului în mod legal și gratuit, fără a cere permisiunea, le va urmări.
Acum, totuși, discursul este puțin diferit, deoarece în timp ce browserele din aplicație ale Facebook și Instagram înregistrează pe ceea ce dai clic, dar nu textul pe care îl introduci, TikTok este mult mai invaziv. Sigur, cercetătorul avertizează că doar pentru că o aplicație injectează JavaScript în site-uri web externe nu înseamnă că face neapărat ceva rău intenționat, dar capacitatea de a face acest lucru fără niciun control rămâne îngrijorătoare.
De asemenea, în timp ce alte aplicații permit utilizatorilor să folosească un browser extern (cum ar fi Safari), TikTok nu oferă această opțiune.
TikTok ar fi recunoscut utilizarea codului JavaScript, dar a spus că este folosit doar pentru depanare și monitorizare a performanței pentru a asigura „cea mai bună experiență de utilizator”. În ceea ce privește Facebook și Instagram, Meta a spus că „a dezvoltat în mod intenționat acest cod pentru a onora opțiunile oamenilor privind transparența urmăririi aplicațiilor (ATT) pe platformele noastre”.
Oricare ar fi adevărul, Krause reiterează că, din punct de vedere tehnic, utilizarea browserelor în aplicație este o problemă și este probabil un răspuns la noile reguli de la Apple care blochează urmărirea. Deci cum te aperi?
În primul rând, dacă este posibil, folosind un browser extern. Ori de câte ori deschideți un link din orice aplicație, verificați dacă există o modalitate de a face acest lucru în browserul implicit (cum ar fi Safari). După cum am văzut, acest lucru este posibil cu toate aplicațiile, în afară de TikTok .
În plus, Krause a creat un instrument care permite oricui să verifice dacă un browser în aplicație injectează cod JavaScript atunci când redă un site web. Pentru a-l utiliza, trebuie să distribuiti site-ul in InAppBrowser cu aplicația în cauză (de exemplu, cu un mesaj direct) și deschideți-l cu browserul din aplicație. Dacă aplicația injectează un cod JavaScript, veți vedea un mesaj (mai jos este un exemplu pentru TikTok).
Și ce spune Apple? Momentan nu au fost primite comentarii, dar dacă doriți să citiți studiul lui Felix Krause, puteți accesa site-ul lui.
