TikTok утверждает, что делает это для "обеспечения оптимального пользовательского опыта".
Вы знаете, что некоторые популярные приложения не выпускают вас из приложения, когда вы нажимаете на ссылку, открывая ее в собственном маленьком браузере внутри приложения?
Как выяснилось, это позволяет этим приложениям следить за тем, что вы делаете. И среди самых популярных приложений, которые делают это, TikTok, похоже, является худшим нарушителем.
В четверг в своем блоге исследователь безопасности Феликс Краузе объявил о запуске InAppBrowser, инструмента, который перечисляет все команды JavaScript, выполняемые приложением для iOS, когда его встроенный браузер отображает веб-страницу.
Чтобы показать, на что способен инструмент, Краузе проанализировал некоторые популярные приложения для iOS, которые имеют встроенный браузер, и результаты оказались тревожными.
Данные Краузе показывают, что такие приложения, как TikTok, Instagram*, Facebook Messenger* и Facebook*, изменяют веб-страницы, открываемые в браузере приложения. "Это включает в себя добавление кода отслеживания (например, ввода, выделения текста, касаний и т.д.), внедрение внешних файлов JavaScript, а также создание новых элементов HTML, - говорит Краузе. Они также получают метаданные сайта, хотя Краузе говорит, что это "безвредно".
Когда Краузе немного углубился в то, что на самом деле делают встроенные браузеры этих приложений, он обнаружил, что TikTok делает некоторые плохие вещи, включая мониторинг всех клавиатурных вводов и касаний пользователя. Так, если вы откроете веб-страницу внутри приложения TikTok и введете там данные своей кредитной карты, TikTok сможет получить доступ ко всем этим данным. TikTok также является единственным приложением из всех, которые исследовал Краузе, которое даже не предлагает опцию открытия ссылки в браузере по умолчанию устройства, заставляя вас переходить через свой собственный браузер в приложении.
В заявлении для Forbes представитель TikTok подтвердил эту практику, но сказал, что "код Javascript, о котором идет речь, используется только для отладки, устранения неполадок и мониторинга производительности этого опыта". По ее словам, это необходимо для обеспечения "оптимального пользовательского опыта".
Другие приложения, на которые обратил внимание Краузе, такие как Instagram*, также проводят некоторый мониторинг, хотя ни одно из них не заходит так далеко, как TikTok. Snapchat и Robinhood - хорошие примеры, поскольку они не изменяют веб-страницы и не получают метаданные сайтов, которые вы открываете в их встроенных браузерах.
Краузе предупреждает, что приложения на самом деле могут скрывать свою JavaScript-активность от его инструмента InAppBrowser, что означает, что они могут вести более тщательный мониторинг за кулисами. На данный момент единственный способ убедиться в том, что они не могут осуществлять мониторинг, - это открывать сайты в браузере устройства по умолчанию, если приложение вообще предлагает такую возможность.
* - запрещен в России; принадлежит корпорации Meta,которая признана в России экстремистской.
Спасибо за просмотр!
Если вам была полезна данная статья, то подписывайтесь на канал и ставьте лайки, это помогает в продвижении канала и мотивирует делать новый контент!
