TikTok i Meta možda znaju više o vama nego što mislite
Da li ste znali da vas potencijalno prate kada učitate pregledač u aplikaciji na iOS-u? Novi alat otkriva kako tačno, pokazujući kako aplikacije kao što su TikTok i Instagram potencijalno mogu da koriste JavaScript za pregled osetljivih podataka, uključujući vašu adresu, lozinke i informacije o kreditnoj kartici, bez vašeg pristanka.
Alat se može naći na InAppBrowser.com. Sve što treba da uradite je da otvorite aplikaciju koju želite da proverite i podelite URL InAppBrovser.com negde u njoj — kao što je DM da pošaljete vezu prijatelju ili da je objavite u komentaru. Odatle možete da dodirnete vezu i dobijete izveštaj sa veb lokacije o tome koje skripte se pokreću u pozadini.
Otvorite app i podelite URL na INAPPBROVSER.COM
Nemojte se plašiti ako niste upoznati sa tehnološkim žargonom, jer programer alata, Felix Krause, daje neka česta pitanja koja objašnjavaju šta tačno vidite. Odgovarajući na pitanja o tome kako se najbolje zaštititi, Krause navodi: „Kad god otvorite vezu iz bilo koje aplikacije, pogledajte da li aplikacija nudi način da otvorite trenutno prikazanu veb lokaciju u vašem podrazumevanom pretraživaču. Tokom ove analize, svaka aplikacija osim TikTok-a nudila je način da se to uradi.”
TikTok je odgovorio na sajtu u izjavi, ranije datoj matičnoj ploči, a sada na Twitter-u, rekavši: „Zaključci izveštaja o TikToku su netačni i obmanjujući. Suprotno njegovim tvrdnjama, mi ne prikupljamo pritisak na tastere ili unos teksta putem ovog koda, koji se koristi isključivo za otklanjanje grešaka, rešavanje problema i praćenje performansi.”
Krause je istraživač bezbednosti i bivši zaposleni u Google koji je ranije ovog meseca podelio detaljan izveštaj o tome kako pregledači u aplikacijama kao što su Facebook, Instagram i TikTok mogu predstavljati rizik za privatnost za korisnike iOS-a.
Pregledači u aplikaciji se koriste kada dodirnete URL u okviru aplikacije. Iako su ovi pretraživači zasnovani na Safari’s WebKit na iOS-u, programeri mogu da ih podese da pokreću sopstveni JavaScript kod, omogućavajući im da prate vašu aktivnost bez vaše saglasnosti ili veb lokacija trećih strana koje posećujete.
Programenri mogu da prate vašu aktivnost
Aplikacije mogu da unesu svoj JavaScript kod u veb lokacije, omogućavajući im da prate kako korisnik stupa u interakciju sa aplikacijom. Ovo može uključivati informacije o svakom dugmetu ili linku koji dodirnete, unose sa tastature i da li su snimljeni snimci ekrana, mada će se svaka aplikacija razlikovati po tome koje informacije prikuplja.
Kao odgovor na Krauseov raniji izveštaj, Meta je opravdao upotrebu ovih prilagođenih skripti za praćenje tvrdnjom da korisnici već pristaju da aplikacije poput Facebooka i Instagrama prate njihove podatke. Meta takođe tvrdi da se prikupljeni podaci koriste samo za ciljano oglašavanje ili neodređene „merne svrhe“.
„Namerno smo razvili ovaj kod kako bismo ispoštovali izbore ljudi na našim platformama“, rekao je portparol Mete. „Kod nam omogućava da agregiramo korisničke podatke pre nego što ih upotrebimo za ciljano oglašavanje ili merenje.“ Dodali su: „Za kupovine obavljene preko pretraživača u aplikaciji, tražimo saglasnost korisnika da sačuvamo informacije o plaćanju u svrhu automatskog popunjavanja.
Alat koji je Krause razvio nije siguran. On priznaje da ne može da otkrije sve moguće JavaScript komande koje se izvršavaju, i napominje da se JavaScript takođe koristi u legitimnom razvoju i da nije inherentno zlonameran. On napominje: „Ovaj alat ne može da otkrije sve izvršene JavaScript komande, kao ni da ne prikazuje praćenje koje bi aplikacija mogla da uradi koristeći izvorni kod (poput prilagođenih prepoznavača pokreta).“ Ipak, ovo nudi korisnicima iOS-a jednostavan način da provere svoj digitalni otisak u svojim omiljenim aplikacijama.
Krause je takođe napravio alatku otvorenog koda, navodeći: „InAppBrowser.com je dizajniran da svi sami veruju šta aplikacije rade u svojim pretraživačima u aplikaciji. Odlučio sam da otvorim kod koji se koristi za ovu analizu, možete ga proveriti na GitHub-u. Ovo omogućava zajednici da ažurira i poboljša ovu skriptu tokom vremena.”
Izvor: TheVerge