对于任何注重隐私的移动应用用户来说,“小心应用内浏览器”是一个很好的经验法则——考虑到应用有可能利用其对用户注意力的控制,通过它也控制的浏览器软件窥探你正在查看的内容。但是,在开发人员 Felix Krause 进行的独立隐私研究发现社交网络的 iOS 应用程序注入了可以监控所有键盘输入和点击的代码后,TikTok 的应用程序内浏览器的行为引起了人们的关注。又名,键盘记录。
“TikTok iOS 订阅在 TikTok 应用程序内呈现的第三方网站上发生的每一次击键(文本输入)。这可能包括密码、信用卡信息和其他敏感的用户数据,”克劳斯在一篇详细介绍调查结果的博客文章中警告说。 “我们无法知道 TikTok 将订阅用于什么目的,但从技术角度来看,这相当于在第三方网站上安装键盘记录器。” [强调他的]
在上周发布了一份报告之后——重点关注 Meta 的 Facebook 和 Instagram iOS 应用程序跟踪其应用程序内浏览器用户的潜力——克劳斯随后推出了一个名为InAppBrowser.com的工具,该工具让移动应用程序用户可以获取代码的详细信息应用程序内浏览器通过列出应用程序在呈现页面时执行的 JavaScript 命令来注入它。 (注意:他警告说,该工具不一定会列出所有执行的 JavaScript 命令,也无法跟踪应用程序可能正在使用本机代码执行的操作——因此它充其量只是提供了对潜在粗略活动的一瞥。)
Krause 使用该工具对一些主要应用程序进行了简短的比较分析,这些应用程序似乎将 TikTok 放在了与应用程序内浏览器相关的行为的首位——因为它已被确定订阅的输入范围至;而且它没有为用户提供使用默认移动浏览器(即,而不是其自己的应用内浏览器)打开网络链接的选项。后者意味着如果您使用 TikTok 的应用程序查看链接,则无法避免加载 TikTok 的跟踪代码——避免这种隐私风险的唯一选择是完全退出其应用程序并使用移动浏览器直接加载链接(如果你不能复制粘贴它,你必须能够记住 URL 才能做到这一点)。
克劳斯谨慎地指出,仅仅因为他发现 TikTok 订阅了用户在其应用内浏览器中查看的第三方网站上的每一次击键,并不一定意味着它对访问做了“任何恶意”——正如他所指出的那样外人无法了解有关正在收集哪种数据或如何或是否传输或使用数据的完整详细信息。但是,很明显,这种行为本身给 TikTok 用户带来了问题和隐私风险。
我们就其注入第三方网站的跟踪代码与 TikTok 取得了联系,并将根据任何回复更新此报告。
Krause 还发现元拥有的应用程序 Instagram、Facebook 和 FB Messenger 正在修改通过其应用程序内浏览器加载的第三方网站——正如他所说,使用“潜在危险”的命令——我们也接触了这项技术巨人对调查结果做出回应。
欧盟对隐私和数据保护进行了监管,包括《通用数据保护条例》和《电子隐私指令》等法律,因此对该地区缺乏适当法律基础的用户进行的任何跟踪都可能导致监管制裁。
近年来,这两家社交媒体巨头都已经受到了围绕隐私、数据和消费者保护问题的各种欧盟程序、调查和执法——一些调查正在进行中,一些重大决定迫在眉睫。
Krause 警告说,公众对 iOS 上应用内浏览器 JavaScript 跟踪代码注入的审查可能会鼓励不良行为者升级他们的软件,使外部研究人员无法检测到这些代码——通过在“指定框架和内容的上下文中运行他们的 JavaScript 代码” world ”(又名 WKContentWorld),Apple 从 iOS 14.3 开始提供;引入该条款作为反指纹措施,因此网站运营商不能干扰浏览器插件的 JavaScript 代码(但在跟踪混淆的情况下,该技术显然是一把双刃剑)——认为它因此“比永远找不到解决方案来结束使用自定义应用内浏览器来显示第三方内容”。
尽管在 iOS 上运行的移动应用程序中发现了一些令人担忧的行为,但苹果的平台通常被吹捧为比谷歌风格的移动操作系统替代品 Android 更安全——值得注意的是,遵循苹果建议使用 Safari(或 SFSafariViewController)的应用程序Krause 认为查看外部网站是“安全的”——包括 Gmail、Twitter、WhatsApp 和许多其他网站——正如他所说,库比蒂诺推荐的方法意味着应用程序无法将任何代码注入网站,包括通过部署前面提到的隔离 JavaScript 系统(否则可能用于混淆跟踪代码)。
原文: https://techcrunch.com/2022/08/19/tiktok-fb-in-app-browser-tracking-analysis/