| 19 августа 2022 г. — 1:40 дня по тихоокеанскому времени
Несколько дней назад разработчик Феликс Краузе поделился подробным отчетом о том, как мобильные приложения могут использовать собственные встроенные веб-браузеры для отслеживания данных пользователей. Теперь Краузе снова порадовал новым инструментом, который позволяет любому увидеть команды JavaScript, внедренные через встроенный браузер.
Платформа называется InAppBrowser, и любой желающий может получить к ней доступ, чтобы проверить, как веб-браузер, встроенный в приложение, внедряет JavaScript-код для отслеживания людей.
Для тех, кто не знаком с этой технологией, встроенный браузер обычно активируется, когда пользователь нажимает на URL-адрес в приложении. Таким образом, приложение отображает веб-страницу, не перенаправляя пользователя во внешний браузер, такой как Safari или Google Chrome.
Однако, хотя эти встроенные браузеры основаны на WebKit от Safari на iOS, разработчики могут модифицировать их для запуска собственного JavaScript-кода. В результате пользователи более подвержены отслеживанию без их ведома. Например, приложение может использовать собственный встроенный браузер для сбора всех нажатий на веб-странице, вводимых данных на клавиатуре, заголовков веб-сайтов и многого другого.
Такие данные могут быть использованы для создания цифрового отпечатка человека. В большинстве случаев данные, собранные с пользователей в Интернете, используются для таргетированной рекламы. Краузе отмечает, что платформа не может обнаружить все команды JavaScript, но она по-прежнему дает пользователям большее представление о том, какие данные собирают приложения.
Как использовать инструмент InAppBrowser
Использование инструмента InAppBrowser довольно просто. Сначала откройте приложение, которое хотите проанализировать. Затем отправьте URL-адрес «https://InAppBrowser.com» куда-нибудь внутри приложения (например, отправьте его в личном сообщении другу). Нажмите на ссылку внутри приложения, чтобы открыть ее и получить отчет о командах JavaScript.
Краузе также протестировал инструмент на некоторых популярных приложениях, чтобы вам не пришлось этого делать. Например, TikTok может отслеживать все нажатия на клавиатуру и касания экрана при открытии URL-адреса через встроенный браузер. Между тем, Instagram может даже обнаруживать все выделения текста на веб-сайтах.
Конечно, разработчик также отмечает, что не все приложения, внедряющие JavaScript-код во встроенный браузер, делают это со злыми намерениями, поскольку JavaScript является основой многих веб-функций. Более подробную информацию об этом вы можете найти на веб-сайте Краузе.
Обновление: ответ TikTok на обвинения Краузе
TikTok связался с 9to5Mac, чтобы предоставить нам заявление в ответ на обвинения Краузе. По словам компании, отчеты «некорректны и вводят в заблуждение». Социальная сеть, специализирующаяся на коротких видео, отмечает, что сам исследователь заявил, что JavaScript-коды не обязательно используются в злонамеренных целях.
Выводы отчета о TikTok являются некорректными и вводящими в заблуждение. Исследователь особо отмечает, что JavaScript-код не означает, что наше приложение делает что-либо злонамеренное, и признает, что у него нет возможности узнать, какие данные собирает наш встроенный браузер. Вопреки заявлениям в отчете, мы не собираем нажатия клавиш или вводимый текст с помощью этого кода, который используется исключительно для отладки, устранения неполадок и мониторинга производительности.
Представитель TikTok
По словам представителя TikTok, некоторые из кодов, использованных исследователем в качестве примеров, являются стандартными входными данными и не используются для сбора вводимых пользователями данных в приложении или его встроенном браузере. В конце концов, JavaScript-код часто используется для отладки, устранения неполадок и мониторинга производительности веб-страницы.
Представитель TikTok также заверил нас, что компания уважает политики конфиденциальности, представленные пользователям, и что приложение собирает только ту информацию, которой пользователи сами решают поделиться.