iOS でアプリ内ブラウザをロードすると、追跡される可能性があることをご存知ですか? 新しいツールは、TikTok や Instagram などのアプリケーションが JavaScript を使用して、アドレス、パスワード、クレジット カード情報などの機密データを同意なしに表示する可能性があることを示しています。
ツールは次の場所にあります。 InAppBrowser.com. 確認したいアプリを開いて、その中のどこかに InAppBrowser.com の URL を共有するだけです。たとえば、友人にリンクを DM で送信したり、コメントに投稿したりします。 そこから、リンクをタップして、バックグラウンドで実行されているスクリプトに関する Web サイトからレポートを取得できます。
このツールの開発者である Felix Krause は、技術用語に慣れていなくても怖がらないでください。 いくつかの FAQ を提供します あなたが見ているものを正確に説明します。 自分自身を守るための最善の方法についての質問に答えて、Krause は次のように述べています。 この分析中に、TikTok 以外のすべてのアプリがこれを行う方法を提供しました。」
TikTok は、以前に提供された声明でサイトに応答しました。 マザーボード と 今ツイッターで、「TikTokに関するレポートの結論は正しくなく、誤解を招くものです。 その主張に反して、このコードを介してキーストロークやテキスト入力を収集することはなく、デバッグ、トラブルシューティング、およびパフォーマンスの監視のみに使用されます。」
Krause はセキュリティ研究者であり、今月初めに Google の元従業員になりました。 詳細なレポートを共有しました Facebook、Instagram、TikTok などのアプリ内のブラウザーが iOS ユーザーのプライバシー リスクになる可能性について説明します。
アプリ内の URL をタップすると、アプリ内ブラウザーが使用されます。 これらのブラウザーは iOS 上の Safari の WebKit に基づいていますが、開発者は独自の JavaScript コードを実行するように調整して、ユーザーまたはユーザーがアクセスするサード パーティの Web サイトからの同意なしにユーザーのアクティビティを追跡できます。
アプリは、JavaScript コードを Web サイトに挿入して、ユーザーがアプリをどのように操作しているかを監視できます。 これには、タップしたすべてのボタンまたはリンク、キーボード入力、およびスクリーンショットが撮られたかどうかに関する情報が含まれますが、収集する情報はアプリごとに異なります.
クラウスの以前の報告に応えて、メタは、ユーザーがデータを追跡するFacebookやInstagramなどのアプリにすでに同意していると主張して、これらのカスタム追跡スクリプトの使用を正当化しました. メタはまた、取得したデータはターゲットを絞った広告または不特定の「測定目的」にのみ使用されると主張しています。
「私たちは意図的にこのコードを開発し、人々の [Ask to track] 私たちのプラットフォームでの選択肢です」と Meta の広報担当者は言いました。 「このコードにより、ターゲットを絞った広告や測定の目的で使用する前に、ユーザー データを集計することができます。」
「アプリ内ブラウザを介して行われた購入については、自動入力の目的で支払い情報を保存することについてユーザーの同意を求めます。」
Krause が開発したツールは万能ではありません。 彼は、実行されている可能性のあるすべての JavaScript コマンドを検出できないことを認め、JavaScript は正当な開発でも使用されており、本質的に悪意があるわけではないと述べています。 彼は次のように述べています。「このツールは、実行されたすべての JavaScript コマンドを検出することはできません。また、アプリがネイティブ コード (カスタム ジェスチャ レコグナイザーなど) を使用して行う可能性のある追跡も表示しません。」 それでも、これは iOS ユーザーがお気に入りのアプリケーション全体のデジタル フットプリントを確認するためのユーザー フレンドリーな方法を提供します。
Krause はまた、このツールをオープン ソース化し、次のように述べています。 この分析に使用されたコードをオープンソースにすることにしました。 GitHub. これにより、コミュニティは時間をかけてこのスクリプトを更新および改善できます。」 あなたはそれについてもっと読むことができます 彼のウェブサイト.
8 月 19 日午後 3 時 34 分 (米国東部時間) の更新: TikTok からの応答を追加しました。