TikTok și Instagram vă pot urmări intrarea | era informaţiei

Noi cercetări independente au dezvăluit o serie de capabilități invazive de urmărire în aplicații populare, cum ar fi TIC-tacSi Instagram și FB Messenger.

Pe lângă faptul că poate urmări informații sensibile, cum ar fi numele de utilizator, parolele și detaliile cărților de credit, cercetările au descoperit o putere în multe Aplicații populare Pentru a accesa comportamentul de defilare al utilizatorilor, clicurile pe ecran și chiar intrările de la tastatură.

Aceste rezultate au fost obținute în Raport A fost publicat de expertul în securitate Felix Krause, fondatorul platformei de automatizare a aplicațiilor, Fastlane, ale cărui cercetări au generat un interes imens în mass-media de la lansarea sa la începutul lunii august.

Krause a raportat inițial că aplicațiile iOS Instagram și Facebook sunt capabile să „urmărească fiecare interacțiune cu site-urile web externe, de la toate intrările de formulare, cum ar fi parolele și adresele, până la fiecare clic”.

După o săptămână, continuați cu a Postare pe blog Care și-a extins descoperirile arătând diferite capacități de urmărire a datelor printre aplicațiile populare și expunând TikTok pe practici deosebit de tulburătoare.

Cum functioneazã?

Dacă utilizați aplicații precum TikTok sau Instagram, este posibil să fi observat că făcând clic pe linkurile din aceste aplicații nu redirecționează către Safari, Chrome sau o altă terță parte. BrowsereMai degrabă, încarcă pagina web dorită direct în aplicație.

De exemplu, linkurile pe care se face clic în TikTok, cum ar fi reclamele sau site-urile web incluse în profilurile creatorilor, afișează pagini web folosind aplicația TikTok direct în locul browserului implicit al telefonului ales de dvs.

Aceasta este funcționalitatea browserelor în aplicație, care sunt caracteristici personalizate care sunt furnizate în aplicații pentru a accesa site-urile direct prin intermediul platformei lor.

Cu toate acestea, designul personalizat permite o funcționalitate personalizată, una dintre care notează Krause este capacitatea utilizată în mod regulat și extrem de problematică de a insera diferite coduri JavaScript în site-uri web ale terțelor părți accesate prin aceste browsere în aplicație.

În cazul TikTok, acest lucru ar putea permite aplicației să se comporte în primul rând ca un fișier keyloggerMonitorizați toate apăsările de taste făcute de utilizator.

Keylogger-urile sunt adesea sinonime cu criminali cibernetici activitate și prezintă o preocupare deosebită în contextul navigării pe web, din cauza probabilității mari ca utilizatorii să efectueze tranzacții online și să se conecteze la cont.

„TikTok iOS activează fiecare apăsare a tastei (introducerea textului) care apare pe site-urile web ale terților furnizate în aplicația TikTok. Acestea pot include parole, informații despre cardul de credit și alte date sensibile ale utilizatorului”, a spus Krause.

El a adăugat: „Nu putem ști pentru ce este folosit TikTok pentru a vă înscrie, dar din punct de vedere tehnic, acest lucru este echivalent cu instalarea unui keylogger pe site-uri terțe”.

Krause a subliniat că postarea sa nu pretindea că TikTok folosește în mod activ datele de navigare ale utilizatorilor săi pentru analize sau alte scopuri, dar el a susținut totuși Dovada – dovada „Un sistem bazat care este capabil să țină evidența tuturor apăsărilor de taste” pe site-uri web externe.

Este TikTok cel mai rău infractor?

Referindu-se la presupusele sale capacități de urmărire a tastei, Krause a declarat: „Conform TikTok, este dezactivat pentru moment”.

Cu toate acestea, afirmațiile TikTok nu au fost întotdeauna în concordanță cu acțiunile sale.

Când s-a prezentat recent în fața unei comisii parlamentare, TIC-tac Se pare că a neglijat să menționeze capacitatea legală a Chinei de a accesa datele utilizatorilor și, dimpotrivă, a furnizat dovezi care au asigurat Parlamentului că datele utilizatorilor australieni de pe platforma sa sunt în siguranță.

Doar câteva luni mai târziu, datorită incidentului anunțului, a apărut mai mult adevăr în jurul practicilor TikTok de partajare a datelor.

Mai mult, TikTok pare să fie deosebit de ferm în direcționarea utilizatorilor către browserul în aplicație.

Instagram, de exemplu, își va folosi browserul în aplicație în mod implicit, dar oferă și o opțiune oarecum accesibilă prin intermediul butonului cu trei puncte din colțul din dreapta sus pentru a utiliza un browser implicit.

Cu toate acestea, TikTok nu oferă o opțiune similară pentru navigarea în afara aplicației, lăsând utilizatorilor fie să copieze și să lipească manual linkul site-ului furnizat în browserul lor implicit, fie să continue să folosească browserul TikTok în cadrul aplicației.

aduce ban

Înainte de această cercetare, era în general acceptat că browserele în aplicație existau cu simplul scop de a menține atenția utilizatorului în cadrul aplicației gazdă.

Cu toate acestea, aceste ultime descoperiri sugerează că, pe lângă păstrarea atenției utilizatorilor, browserele în aplicație pot oferi furnizorilor de aplicații un set de capabilități și stimulente excesive de urmărire.

Etica și necesitatea acestor presupuse capacități de urmărire a datelor sunt cel puțin discutabile și, pentru a înrăutăți lucrurile, Krause sugerează că controversatul cod JavaScript folosit de browserele în aplicație va fi în curând dificil de urmărit.

Unde iOS 14.3 Lansat, Apple acceptă rularea codului JavaScript într-o anumită „lume de conținut”, care poate separa practic mediul web al unei aplicații de mediul paginilor web individuale.

Acest lucru permite aplicațiilor să ascundă în mod eficient comenzile JavaScript care sunt executate pe site-uri web terțe, iar dacă sunt executate de aplicații precum TikTok și Instagram, ar putea îngreuna cercetătorii să detecteze activitatea de urmărire în viitor.

Având în vedere natura îndoielnică a browserelor în aplicație și capacitatea tot mai mare de a-și ascunde activitatea JavaScript, Krause a declarat: „Cred că Apple și Google ar trebui și vor începe să blocheze browserele în aplicație”.