iOS’ta bir uygulama içi tarayıcı yüklediğinizde potansiyel olarak izlendiğinizi biliyor muydunuz? Yeni bir araç, TikTok ve Instagram gibi uygulamaların, adresiniz, şifreleriniz ve kredi kartı bilgileriniz de dahil olmak üzere hassas verileri izniniz olmadan görüntülemek için JavaScript’i nasıl kullanabileceğini tam olarak ortaya koyuyor.
Araç şurada bulunabilir: InAppBrowser.com. Tek yapmanız gereken, kontrol etmek istediğiniz uygulamayı açmak ve InAppBrowser.com URL’sini içinde bir yerde paylaşmak – örneğin bağlantıyı bir arkadaşınıza DM ile göndermek veya bir yorumda göndermek gibi. Oradan, bağlantıya dokunabilir ve arka planda hangi komut dosyalarının çalıştığına dair web sitesinden bir rapor alabilirsiniz.
Aracın geliştiricisi Felix Krause olarak teknoloji jargonuna aşina değilseniz gözünüz korkmasın. bazı SSS’ler sağlar bu tam olarak ne gördüğünüzü açıklıyor. Kendinizi en iyi nasıl koruyacağınızla ilgili sorulara yanıt olarak Krause, “Herhangi bir uygulamadan bir bağlantı açtığınızda, uygulamanın o anda gösterilen web sitesini varsayılan tarayıcınızda açmanın bir yolunu sunup sunmadığına bakın. Bu analiz sırasında TikTok dışındaki her uygulama bunu yapmanın bir yolunu sundu.”
TikTok, siteye daha önce sağlanan bir açıklamada yanıt verdi. Anakart ve şimdi Twitter’da, “Raporun TikTok ile ilgili sonuçları yanlış ve yanıltıcı. İddialarının aksine, yalnızca hata ayıklama, sorun giderme ve performans izleme için kullanılan bu kod aracılığıyla tuş vuruşlarını veya metin girişlerini toplamıyoruz.”
Krause, bir güvenlik araştırmacısı ve bu ayın başlarında eski bir Google çalışanı. detaylı bir rapor paylaştı Facebook, Instagram ve TikTok gibi uygulamalardaki tarayıcıların iOS kullanıcıları için nasıl bir gizlilik riski olabileceği konusunda.
Uygulama içindeki bir URL’ye dokunduğunuzda uygulama içi tarayıcılar kullanılır. Bu tarayıcılar iOS’ta Safari’nin WebKit’ini temel alıyor olsa da, geliştiriciler bunları kendi JavaScript kodlarını çalıştıracak şekilde ayarlayabilir ve sizin veya ziyaret ettiğiniz üçüncü taraf web sitelerinin izni olmadan etkinliğinizi izlemelerine olanak tanır.
Uygulamalar, JavaScript kodlarını web sitelerine enjekte ederek, kullanıcının uygulamayla nasıl etkileşime girdiğini izlemelerine olanak tanır. Bu, dokunduğunuz her düğme veya bağlantı, klavye girişleri ve ekran görüntüleri alınıp alınmadığına ilişkin bilgileri içerebilir, ancak her uygulamanın topladığı bilgiler farklılık gösterecektir.
Krause’un önceki raporuna yanıt olarak, Meta, kullanıcıların Facebook ve Instagram gibi uygulamaların verilerini izlemesine zaten izin verdiğini iddia ederek bu özel izleme komut dosyalarının kullanımını haklı çıkardı. Meta ayrıca, alınan verilerin yalnızca hedefli reklamcılık veya belirtilmemiş “ölçüm amaçları” için kullanıldığını iddia ediyor.
“Bu kodu kasıtlı olarak insanların haklarını onurlandırmak için geliştirdik. [Ask to track] platformlarımızdaki seçimler, ”dedi bir Meta sözcüsü. “Kod, hedeflenen reklamcılık veya ölçüm amaçları için kullanmadan önce kullanıcı verilerini toplamamıza izin veriyor.”
Şunları eklediler: “Uygulama içi tarayıcı aracılığıyla yapılan satın almalar için, otomatik doldurma amacıyla ödeme bilgilerini kaydetmek için kullanıcıdan onay istiyoruz.”
Krause’un geliştirdiği araç kusursuz değil. Yürütülen tüm olası JavaScript komutlarını algılayamadığını kabul ediyor ve JavaScript’in meşru geliştirmede de kullanıldığını ve doğası gereği kötü niyetli olmadığını belirtiyor. “Bu araç yürütülen tüm JavaScript komutlarını algılayamıyor ve uygulamanın yerel kodu (özel hareket tanıyıcıları gibi) kullanarak yapabileceği herhangi bir izlemeyi göstermiyor.” Yine de bu, iOS kullanıcılarının favori uygulamalarında dijital ayak izlerini kontrol etmeleri için kullanıcı dostu bir yol sunar.
Krause ayrıca aracı açık kaynak haline getirdi ve “InAppBrowser.com, herkesin uygulama içi tarayıcılarında uygulamaların ne yaptığını doğrulaması için tasarlandı. Bu analiz için kullanılan kodu açık kaynak kodlu olarak açmaya karar verdim, buradan kontrol edebilirsiniz. GitHub. Bu, topluluğun zaman içinde bu betiği güncellemesine ve iyileştirmesine olanak tanır.” Bu konuda daha fazlasını okuyabilirsiniz onun web sitesi.
Güncelleme 19 Ağustos, 15:34 ET: TikTok’tan yanıt eklendi.