Несколько дней назад разработчик Феликс Краузе поделился подробным отчетом о том, как мобильные приложения могут использовать собственный веб-браузер для отслеживания пользовательских данных. Теперь Краузе вернулся с новым инструментом, который позволяет любому видеть команды JavaScript, вводимые через браузер в приложении.
Платформа называется InAppBrowser, и любой заинтересованный пользователь может получить к ней доступ, чтобы проверить, как веб-браузер, встроенный в приложение, вводит код JavaScript для отслеживания людей.
Для тех, кто не знаком, браузер в приложении обычно активируется, когда пользователь нажимает на URL-адрес в приложении. Таким образом, приложение отображает веб-страницу без необходимости перенаправлять пользователя во внешнее приложение браузера, такое как Safari или Google Chrome.
Однако, хотя эти встроенные в приложения браузеры основаны на Safari WebKit для iOS, разработчики могут модифицировать их для запуска собственного кода JavaScript. В результате пользователи более подвержены отслеживанию без их ведома. Например, приложение может использовать настраиваемый встроенный браузер для сбора всех нажатий на веб-страницу, ввода с клавиатуры, заголовка веб-сайта и многого другого.
Такие данные можно использовать для создания цифрового отпечатка пальца человека. В большинстве случаев данные, собранные от людей в Интернете, используются для целевой рекламы. Краузе отмечает, что платформа не может обнаружить все команды JavaScript, но тем не менее дает пользователям больше информации о том, какие данные собирают приложения.
Использовать инструмент InAppBrowser довольно просто. Сначала вы открываете приложение, которое хотите проанализировать. Затем вы делитесь URL-адресом «https://InAppBrowser.com» где-то внутри приложения (вы можете отправить его как DM другу). Нажмите на ссылку внутри приложения, чтобы открыть его и получить отчет о командах JavaScript.
Краузе также протестировал инструмент с некоторыми популярными приложениями, чтобы вам не пришлось этого делать. Например, TikTok может отслеживать все вводы с клавиатуры и нажатия на экран, когда вы открываете URL-адрес с помощью браузера в приложении. Между тем, Instagram может даже обнаруживать все выделения текста на веб-сайтах.
Конечно, разработчик также отмечает, что не каждое приложение, внедряющее код JavaScript во встроенный в приложение браузер, делает это в злонамеренных целях, поскольку JavaScript является основой многих веб-функций. Вы можете найти более подробную информацию об этом на веб-сайте Краузе.
Обновление: ответ TikTok на обвинения Краузе
TikTok обратился к , чтобы предоставить нам заявление в ответ на обвинения Краузе. По словам компании, отчеты «неверны и вводят в заблуждение». Социальная сеть, ориентированная на короткие видеоролики, отмечает, что сам исследователь заявил, что коды JavaScript не обязательно используются в злонамеренных целях.
Выводы отчета о TikTok неверны и вводят в заблуждение. Исследователь конкретно говорит, что код JavaScript не означает, что наше приложение делает что-то злонамеренное, и признает, что у них нет возможности узнать, какие данные собирает наш браузер в приложении. Вопреки заявлениям в отчете, мы не собираем информацию о нажатиях клавиш или текстовом вводе с помощью этого кода, который используется исключительно для отладки, устранения неполадок и мониторинга производительности».
представитель ТикТок
По словам представителя TikTok, некоторые из кодов, использованных исследователем в качестве примеров, являются обычными входными данными и не используются для сбора того, что пользователи вводят в приложении или в его браузере в приложении. В конце концов, код JavaScript обычно используется для отладки, устранения неполадок и мониторинга производительности веб-страницы.
Представитель TikTok также заверил нас, что компания соблюдает политику конфиденциальности, представленную пользователям, и что приложение собирает только ту информацию, которой пользователи хотят поделиться.
