“Cuidado con los navegadores integrados en la aplicación” es una buena regla general para cualquier usuario de aplicaciones móviles consciente de la privacidad, dado el potencial de una aplicación para aprovechar la atención del usuario para espiar lo que está viendo a través del software del navegador que también controla. Pero se están levantando las cejas sobre el comportamiento del navegador en la aplicación de TikTok después de la independiente investigación de privacidad por el desarrollador Felix Krause descubrió que la aplicación iOS de la red social inyectaba un código que podría permitirle monitorear todas las entradas y toques del teclado. También conocido como registro de teclas.
“TikTok iOS se suscribe a cada pulsación de tecla (ingresos de texto) que ocurre en sitios web de terceros representados dentro de la aplicación TikTok. Esto puede incluir contraseñas, información de tarjetas de crédito y otros datos confidenciales del usuario”, advierte Krause en un entrada en el blog detallando los hallazgos. “No podemos saber para qué TikTok usa la suscripción, pero desde una perspectiva técnica, esto es el equivalente a instalar un keylogger en sitios web de terceros.” [emphasis his]
Después de publicar un informe la semana pasada, centrado en el potencial de las aplicaciones iOS de Facebook e Instagram de Meta para rastrear a los usuarios de sus navegadores en la aplicación, Krause siguió lanzando una herramienta, llamada InAppBrowser.com, que permite a los usuarios de aplicaciones móviles obtener detalles del código que inyectan los navegadores en la aplicación al enumerar los comandos de JavaScript ejecutados por la aplicación a medida que representa la página. (NB: advierte que la herramienta no enumera necesariamente todos los comandos de JavaScript ejecutados ni puede detectar el seguimiento que una aplicación podría estar haciendo usando código nativo, por lo que, en el mejor de los casos, ofrece un vistazo de actividades potencialmente incompletas).
Krause ha utilizado la herramienta para producir un breve análisis comparativo de una serie de aplicaciones importantes que parece colocar a TikTok en la parte superior por comportamientos preocupantes con respecto a los navegadores en la aplicación, debido al alcance de las entradas que se han identificado al suscribirse. a; y el hecho de que no ofrece a los usuarios la opción de usar un navegador móvil predeterminado (es decir, en lugar de su propio navegador integrado en la aplicación) para abrir enlaces web. Esto último significa que no hay forma de evitar que se cargue el código de seguimiento de TikTok si usa su aplicación para ver enlaces; la única opción para evitar este riesgo de privacidad es eliminar su aplicación por completo y usar un navegador móvil para cargar directamente el enlace ( y si no puede copiar y pegar, tendrá que poder recordar la URL para hacerlo).
Krause tiene cuidado de señalar que el hecho de que haya descubierto que TikTok se está suscribiendo a cada pulsación de tecla que un usuario hace en sitios de terceros vistos dentro de su navegador en la aplicación no significa necesariamente que esté haciendo “algo malicioso” con el acceso, como señala que hay no hay forma de que personas externas conozcan los detalles completos sobre qué tipo de datos se recopilan o cómo o si se transfieren o utilizan. Pero, claramente, el comportamiento en sí genera preguntas y riesgos de privacidad para los usuarios de TikTok.
Nos comunicamos con TikTok sobre el código de seguimiento que está inyectando en sitios de terceros y actualizaremos este informe con cualquier respuesta.
Krause también descubrió que las aplicaciones propiedad de Meta Instagram, Facebook y FB Messenger estaban modificando sitios de terceros cargados a través de sus navegadores en la aplicación, con comandos “potencialmente peligrosos”, como él dice, y también nos hemos acercado a la tecnología. gigante para una respuesta a los hallazgos.
La privacidad y la protección de datos están reguladas en la Unión Europea, por leyes que incluyen el Reglamento general de protección de datos y la Directiva de privacidad electrónica, por lo que cualquier seguimiento que se realice de los usuarios en la región que carezca de una base legal adecuada podría dar lugar a una sanción reglamentaria.
Ambos gigantes de las redes sociales ya han estado sujetos a una variedad de procedimientos, investigaciones y medidas de cumplimiento de la UE en torno a preocupaciones de privacidad, datos y protección del consumidor en los últimos años, con una serie de investigaciones en curso y algunas decisiones importantes que se avecinan.
Krause advierte que es probable que el escrutinio público de las inyecciones de código de seguimiento de JavaScript en el navegador de la aplicación en iOS aliente a los malos actores a actualizar su software para hacer que dicho código sea indetectable para los investigadores externos, al ejecutar su código JavaScript en el “contexto de un marco específico y un mundo de contenido” (también conocido como WKContentWorld), que Apple ha proporcionado desde iOS 14.3; presentando la disposición como una medida contra las huellas dactilares y para que los operadores de sitios web no puedan interferir con el código JavaScript de los complementos del navegador (pero la tecnología es evidentemente una espada de doble filo en el contexto de la ofuscación del seguimiento), argumentando que, por lo tanto, es “más importante que nunca para encontrar una solución para terminar con el uso de navegadores personalizados en la aplicación para mostrar contenido de terceros”.
A pesar de que se identificaron algunos comportamientos preocupantes en las aplicaciones móviles que se ejecutan en iOS, la plataforma de Apple generalmente se promociona como más segura para la privacidad que la alternativa del sistema operativo móvil con sabor a Google, Android, y vale la pena señalar que las aplicaciones que siguen la recomendación de Apple de usar Safari (o SFSafariViewController) Krause descubrió que para ver sitios web externos estaba “en el lado seguro”, incluidos Gmail, Twitter, WhatsApp y muchos otros, ya que dice que el método recomendado por Cupertino significa que no hay forma de que las aplicaciones inyecten ningún código en los sitios web, incluso mediante la implementación del sistema JavaScript aislado mencionado anteriormente (que de lo contrario podría usarse para ofuscar el código de seguimiento).
Source link