‘Uygulama içi tarayıcılara dikkat edin’, gizlilik bilincine sahip herhangi bir mobil uygulama kullanıcısı için iyi bir kuraldır – bir uygulamanın, aynı zamanda kontrol ettiği tarayıcı yazılımı aracılığıyla baktığınız şeyi gözetlemek için kullanıcının dikkatini çekme potansiyeli göz önüne alındığında. Ancak, bağımsız olduktan sonra TikTok’un uygulama içi tarayıcısının davranışı üzerine kaşlar kaldırılıyor. gizlilik araştırması geliştirici Felix Krause, sosyal ağın iOS uygulamasının tüm klavye girişlerini ve dokunuşlarını izlemesini sağlayabilecek kod enjekte ettiğini buldu. Aka, tuş günlüğü.
“TikTok iOS, TikTok uygulamasında oluşturulan üçüncü taraf web sitelerinde gerçekleşen her tuş vuruşuna (metin girişi) abone olur. Bu, parolaları, kredi kartı bilgilerini ve diğer hassas kullanıcı verilerini içerebilir” diye uyarıyor Krause. Blog yazısı bulguları detaylandırıyor. “TikTok’un aboneliği ne için kullandığını bilemeyiz, ancak teknik açıdan bakıldığında, bu, bir keylogger kurmaya eşdeğerdir üçüncü taraf web sitelerinde.” [emphasis his]
yayınladıktan sonra rapor Geçen hafta – Meta’nın Facebook ve Instagram iOS uygulamalarının uygulama içi tarayıcılarının kullanıcılarını izleme potansiyeline odaklandı – Krause, adını verdiği bir araç başlattı. InAppBrowser.com, mobil uygulama kullanıcılarının, uygulama tarafından sayfayı oluştururken yürütülen JavaScript komutlarını listeleyerek uygulama içi tarayıcılar tarafından enjekte edilen kodun ayrıntılarını almalarını sağlar. (Not: Aracın yürütülen tüm JavaScript komutlarını listelememesi veya bir uygulamanın yerel kodu kullanarak yapıyor olabileceğini izlemeyi almaması konusunda uyarıyor – bu nedenle en iyi ihtimalle potansiyel olarak kabataslak etkinliklere bir bakış sunuyor.)
Krause, aracı, TikTok’u uygulama içi tarayıcılarla ilgili davranışlar açısından en üst sıralarda yer alan bir dizi büyük uygulamanın kısa ve karşılaştırmalı bir analizini yapmak için kullandı – abone olarak tanımlandığı girdilerin kapsamı nedeniyle ile; ve kullanıcılara web bağlantılarını açmak için varsayılan bir mobil tarayıcı (yani kendi uygulama içi tarayıcısı yerine) kullanma seçeneği sunmaması. İkincisi, bağlantıları görüntülemek için uygulamasını kullanırsanız TikTok’un izleme kodunun yüklenmesini önlemenin bir yolu olmadığı anlamına gelir – bu gizlilik riskinden kaçınmanın tek seçeneği, uygulamasını tamamen kesmek ve bağlantıyı doğrudan yüklemek için bir mobil tarayıcı kullanmaktır ( ve kopyala-yapıştır yapamıyorsanız, bunu yapmak için URL’yi hatırlamanız gerekir).
Krause, TikTok’un, bir kullanıcının uygulama içi tarayıcısında görüntülenen üçüncü taraf sitelerde yaptığı her tuş vuruşuna abone olduğunu tespit etmesinin, erişimle “kötü niyetli bir şey” yaptığı anlamına gelmediğini belirtmekte dikkatli.ne tür verilerin toplandığına veya nasıl aktarıldığına veya kullanıldığına ilişkin tüm ayrıntıları dışarıdan kişilerin bilmesinin hiçbir yolu yoktur. Ancak, açıkça, davranışın kendisi TikTok kullanıcıları için soruları ve gizlilik risklerini gündeme getiriyor.
Üçüncü taraf sitelere enjekte ettiği izleme kodu hakkında TikTok’a ulaştık ve bu raporu herhangi bir yanıtla güncelleyeceğiz.
Meta-sahipli uygulamalar Instagram, Facebook ve FB Messenger’ın da Krause tarafından uygulama içi tarayıcıları aracılığıyla yüklenen üçüncü taraf sitelerini değiştirdiği tespit edildi – kendisinin dediği gibi “potansiyel olarak tehlikeli” komutlarla – ve biz de teknolojiye yaklaştık. bulgulara bir yanıt için dev.
Gizlilik ve veri koruma, Avrupa Birliği’nde Genel Veri Koruma Yönetmeliği ve eGizlilik Yönergesi de dahil olmak üzere yasalarla düzenlenmektedir, bu nedenle bölgede uygun bir yasal temele sahip olmayan kullanıcılar üzerinde gerçekleştirilen herhangi bir izleme, düzenleyici yaptırıma yol açabilir.
Her iki sosyal medya devi de son yıllarda mahremiyet, veri ve tüketicinin korunmasıyla ilgili çeşitli AB prosedürlerine, soruşturmalarına ve yaptırımlarına tabi tutuldu – bir dizi soruşturma devam ediyor ve bazı önemli kararlar yaklaşıyor.
Krause, iOS’ta uygulama içi tarayıcı JavaScript izleme kodu enjeksiyonlarının genel olarak incelenmesinin, kötü oyuncuları yazılımlarını bu tür kodları harici araştırmacılar tarafından algılanamaz hale getirmek için yükseltmeye teşvik edeceği konusunda uyarıyor — JavaScript kodlarını “belirli bir çerçeve ve içerik dünyasının bağlamı” (aka WKContentWorld), Apple’ın iOS 14.3’ten beri sağladığı; hükmü parmak izi önleme önlemi olarak sunmak ve böylece web sitesi operatörlerinin tarayıcı eklentilerinin JavaScript koduna müdahale edememesi (ancak teknoloji, karışıklığı izleme bağlamında açıkça iki ucu keskin bir kılıçtır) – bu nedenle “daha önemli” olduğunu savunuyor. üçüncü taraf içeriğini göstermek için özel uygulama içi tarayıcıların kullanımını sona erdirmek için bir çözüm bulmak için asla ”.
İOS’ta çalışan mobil uygulamalarda bazı ilgili davranışların tanımlanmasına rağmen, Apple’ın platformu genellikle Google aromalı mobil işletim sistemi alternatifi Android’den daha güvenli olarak lanse edilir – ve Apple’ın Safari (veya SFSafariViewController) kullanma önerisine uyan uygulamaların dikkate değer olduğunu belirtmekte fayda var. Krause, Gmail, Twitter, WhatsApp ve diğerleri de dahil olmak üzere harici web sitelerini görüntülemek için “güvenli tarafta” bulundu. yukarıda belirtilen yalıtılmış JavaScript sistemi (aksi takdirde izleme kodunu karartmak için kullanılabilir).