La herramienta muestra el código JavaScript inyectado a través del navegador de la aplicación
Hace unos días, el desarrollador Felix Krause publicó un informe detallado sobre cómo las aplicaciones móviles pueden usar su propio navegador web en la aplicación para rastrear los datos del usuario. Ahora Krause está de vuelta con una nueva herramienta que permite a cualquier persona ver los comandos de JavaScript inyectados a través de un navegador en la aplicación. La plataforma se llama InAppBrowser y cualquier usuario interesado puede acceder a ella para ver cómo un navegador web integrado en una aplicación inyecta código JavaScript para rastrear personas. Para aquellos que no lo saben, un navegador en la aplicación generalmente se activa cuando un usuario toca una URL en una aplicación. De esta forma, la aplicación mostrará la página web sin tener que redirigir al usuario a una aplicación de navegador externa como Safari o Google Chrome. Aunque estos navegadores integrados en aplicaciones se basan en WebKit de Safari en iOS, los desarrolladores pueden modificarlos para ejecutar su propio código JavaScript. Como resultado, los usuarios son más propensos a ser rastreados sin su conocimiento. Por ejemplo, una aplicación puede usar un navegador personalizado en la aplicación para recopilar todos los toques en una página web, pulsaciones de teclas, títulos de sitios web y más. Se puede crear una huella digital de una persona a partir de dichos datos. En la mayoría de los casos, los datos recopilados de personas en Internet se utilizan para publicidad dirigida. Krause señala que la plataforma no puede reconocer todos los comandos de JavaScript, pero aun así brinda a los usuarios una mejor perspectiva de los datos que recopilan las aplicaciones. Usar la herramienta InAppBrowser es bastante simple. Primero, abra una aplicación que desee analizar. Luego, comparta la URL «https://InAppBrowser.com» en cualquier lugar de la aplicación (puede enviarla por DM a un amigo). Toque el enlace en la aplicación para abrirlo y obtener un informe de los comandos de JavaScript. Krause también probó la herramienta con algunas aplicaciones populares para que usted no tenga que hacerlo. Por ejemplo, TikTok puede monitorear todas las pulsaciones de teclas y toques de pantalla cuando abre una URL con el navegador de la aplicación. Instagram ahora puede incluso reconocer todas las selecciones de texto en los sitios web. Por supuesto, el desarrollador también señala que no todas las aplicaciones que inyectan código JavaScript en un navegador dentro de la aplicación lo hacen con fines maliciosos, ya que JavaScript es la base de muchas funciones web. Puede encontrar más información en el sitio web de Krause.
Actualización: la respuesta de TikTok a las acusaciones de Krause
TikTok se comunicó con 9to5Mac para brindarnos una declaración en respuesta a las acusaciones de Krause. Según la empresa, los informes son «falsos y engañosos». La red social centrada en videos cortos señala que el propio investigador dijo que los códigos JavaScript no se usan necesariamente con fines maliciosos.
Las conclusiones del informe sobre TikTok son falsas y engañosas. El investigador dice específicamente que el código JavaScript no significa que nuestra aplicación esté haciendo algo malicioso y admite que no tiene forma de saber qué tipo de datos está recopilando nuestro navegador en la aplicación. Contrariamente a lo que afirma el informe, no recopilamos ninguna pulsación de tecla ni entrada de texto a través de este código, que se usa únicamente para depurar, solucionar problemas y monitorear el rendimiento». Portavoz de TikTok
Según un portavoz de TikTok, algunos de los códigos utilizados como ejemplos por el investigador son entradas comunes y no se utilizan para capturar lo que los usuarios escriben en la aplicación o en su navegador en la aplicación. Finalmente, el código JavaScript se usa ampliamente para depurar, solucionar problemas y monitorear el rendimiento de una página web. El vocero de TikTok también aseguró que la empresa respeta las políticas de privacidad presentadas a los usuarios y que la aplicación solo recopila información que los usuarios comparten voluntariamente. FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
Visite 9to5Mac en YouTube para obtener más noticias de Apple: