Používanie prehliadačov v aplikácii by mohlo umožniť ľahký prístup k používateľským súkromným informáciám.

Vedeli ste, že ste potenciálne sledovaní, keď načítate prehliadač v aplikácii? Nový nástroj presne odhaľuje ako a ukazuje, ako môžu aplikácie ako TikTok a Instagram potenciálne používať JavaScript na zobrazenie citlivých údajov vrátane adresy, hesiel a informácií o kreditnej karte bez používateľovho súhlasu. Nástroj nájdete na stránke InAppBrowser.com. Stačí otvoriť aplikáciu, ktorú chcete skontrolovať, a zdieľať adresu URL InAppBrowser.com niekde v rámci nej, napríklad poslať odkaz priateľovi alebo ho uverejniť v komentári. Odtiaľ môžete ťuknúť na odkaz a získať správu z webovej stránky o tom, aké skripty sú spustené na pozadí. Nenechajte sa zastrašiť, ak sa nevyznáte v technickom žargóne, pretože vývojár nástroja Felix Krause poskytuje niekoľko často kladených otázok, ktoré presne vysvetľujú, čo vidíte. V odpovedi na otázky, ako sa najlepšie chrániť, Krause uvádza: „Vždy, keď otvoríte odkaz z akejkoľvek aplikácie, pozrite sa, či aplikácia ponúka spôsob, ako otvoriť aktuálne zobrazenú webovú stránku vo vašom predvolenom prehliadači. Počas tejto analýzy každá aplikácia okrem TikToku ponúkala spôsob, ako to urobiť.“

TikTok reagovala na túto stránku vo vyhlásení v ktorom uviedla: „Závery správy o spoločnosti TikTok sú nesprávne a zavádzajúce. Na rozdiel od jej tvrdení nezhromažďujeme stlačenia klávesov ani textové vstupy prostredníctvom tohto kódu, ktorý sa používa výlučne na ladenie, riešenie problémov a monitorovanie výkonu.“ Krause je bezpečnostný výskumník a bývalý zamestnanec Google, ktorý začiatkom tohto mesiaca zdieľal podrobnú správu o tom, ako môžu prehliadače v rámci aplikácií, ako sú Facebook, Instagram a TikTok, predstavovať riziko pre súkromie používateľov systému iOS. Prehliadače v aplikáciách sa používajú, keď v rámci aplikácie ťuknete na adresu URL. Hoci sú tieto prehliadače založené na WebKite Safari v systéme iOS, vývojári ich môžu upraviť tak, aby spúšťali svoj vlastný kód JavaScript, čo im umožňuje sledovať vašu aktivitu bez súhlasu vás alebo navštívených webových stránok tretích strán.

Aplikácie môžu do webových stránok vkladať svoj kód JavaScript, čo im umožňuje sledovať, ako používateľ s aplikáciou komunikuje. To môže zahŕňať informácie o každom tlačidle alebo prepojení, na ktoré ťuknete, o vstupoch z klávesnice a o tom, či boli urobené snímky obrazovky, hoci každá aplikácia sa líši v tom, aké informácie zhromažďuje. V reakcii na Krauseho predchádzajúcu správu Meta odôvodnila používanie týchto vlastných sledovacích skriptov tvrdením, že používatelia už súhlasia s tým, aby aplikácie ako Facebook a Instagram sledovali ich údaje. Spoločnosť tiež tvrdí, že získané údaje sa používajú len na cielenú reklamu alebo bližšie nešpecifikované „účely merania“. „Tento kód sme vyvinuli zámerne, aby sme rešpektovali voľby ľudí [požiadať o sledovanie] na našich platformách,“ uviedol hovorca Meta. „Kód nám umožňuje agregovať údaje používateľov pred ich použitím na účely cielenej reklamy alebo merania. Pri nákupoch uskutočnených prostredníctvom prehliadača v aplikácii žiadame používateľa o súhlas s uložením platobných informácií na účely automatického vyplňovania.“

Nástroj, ktorý vyvinul Krause, nie je spoľahlivý. Priznáva, že nedokáže odhaliť všetky možné vykonávané príkazy JavaScriptu, a spomína, že JS sa používa aj pri legálnom vývoji a nie je vo svojej podstate škodlivý. Poznamenáva: „Tento nástroj nedokáže odhaliť všetky vykonávané príkazy JavaScriptu, ako aj nezobrazuje žiadne sledovanie, ktoré by aplikácia mohla vykonávať pomocou natívneho kódu (napríklad vlastné rozpoznávače gest).“ Napriek tomu ponúka používateľom systému iOS používateľsky prívetivý spôsob, ako skontrolovať svoju digitálnu stopu v obľúbených aplikáciách. Krause tiež sprístupnil tento nástroj ako otvorený zdrojový kód a uviedol: „InAppBrowser.com je určený pre každého, aby si sám overil, čo aplikácie robia vo svojich prehliadačoch v aplikáciách. Rozhodol som sa otvoriť zdrojový kód použitý na túto analýzu, môžete si ho pozrieť na GitHube. Vďaka tomu môže komunita tento skript časom aktualizovať a vylepšovať.“ Viac informácií o ňom si môžete prečítať na jeho webovej stránke.

Zdroj