Sbírání dat o uživatelích na sociálních sítích a jejich následné prodávání v jakékoliv podobě je v DNA takřka každé novodobé sociální platformy. V případě TikToku a některých dalších aplikací to však může vést i k nečekaným bezpečnostním problémům.
Specialista na bezpečnost Felix Krause, na něhož se odkazuje například The Verge nebo The Guardian, přišel se zajímavým zjištěním důležitým především pro uživatele iOS. Aplikace jako TikTok nebo Instagram totiž při otevření internetových odkazů v rámci zabudovaného prohlížeče využívají JavaScript pro možné špehování uživatele. V případě Instagramu nebo třeba Facebooku přitom aplikace umožňují odkaz otevřít v klasickém prohlížeči, čímž se uživatelé tomuto riziku vyhnou, TikTok však v současnosti takovouto volbu nenabízí, odkaz se tak automaticky otevře v prohlížeči integrovaném do aplikace.
Prohlížeče integrované do aplikací v iOS sice využívají WebKit Safari, vývojáři daných aplikací je však mohou upravit a vložit do nich vlastní kód v JavaScriptu, čímž je mohou v podstatě „naprogramovat“ ke sledování aktivity uživatele bez souhlasu majitelů webových stránek třetích stran, které dotyčný navštíví.
Výše uvedené znamená, že konkrétně TikTok může sledovat informace o proklicích na ovládací prvky umístěné na dané stránce, údaje zadané skrze klávesnici nebo třeba, jestli jste pořídili screenshot. V podstatě tedy funguje jako keylogger a může sbírat velmi citlivá uživatelská data.
Na zjištění Krause, které podrobně popisuje na krausefx.com, zareagoval mluvčí společnosti Meta, pod kterou spadá Facebook a Instagram. Ten uvádí, že byl sledovací kód vyvinut se zohledněním ATT, tedy možnosti uživatelů odmítnout sledování jejich chování aplikacemi na internetu a je určen pouze pro „účely měření“.
These claims misrepresent how Meta’s in-app browser and Pixel work. We intentionally developed this code to honor people’s App Tracking Transparency (ATT) choices on our platforms. We have communicated this to the researcher.
— Andy Stone (@andymstone) August 11, 2022
„Využívání JavaScriptu je samozřejmě běžnou praxí a nemusí nutně znamenat nic špatného,“ dodává Krause, který pro uživatele iOS připravil stránky InAppBrowser.com, kde si mohou zkontrolovat, jestli nedochází k jejich případnému špehování. Jedním dechem bezpečnostní expert zároveň dodává, že JavaScript může být vložen takovým způsobem (jinými slovy schovaný), že jej InAppBrowser.com nerozpozná.
Jak se správně zachovat?
Krause se vyjádřil pro zrušení integrovaných prohlížečů v aplikacích, ačkoliv se najdou i případy, kdy je jejich využití opodstatněné. Aplikace například může dotyčnou osobu přesměrovat na stránky dané společnosti. Společnostem s aplikacemi využívajícími integrované prohlížeče proto doporučuje otevírat v nich pouze odkazy vedoucí na jejich vlastní stránky a veškerý externí obsah zobrazovat v klasickém (neintegrovaném) webovém prohlížeči. Uživatelům pro změnu vřele doporučuje, aby vždy když je to možné, volili možnost otevření stránky v (externím) prohlížeči.
