Nowe badania wykazały, że platformy mediów społecznościowych Meta, Instagram i Tiktok mogą uzyskać dostęp do danych osobowych użytkowników po wprowadzeniu do przeglądarki w aplikacji.
Inżynier oprogramowania i badacz bezpieczeństwa Felix Krause przyjrzał się kodowaniu wbudowanemu w Tiktok, chińską infrastrukturę aplikacji, co doprowadziło do tego odkrycia. Użytkownicy, którzy klikają linki na Tiktok, są kierowani do natywnej przeglądarki w aplikacji, którą stworzyli, a nie domyślnych przeglądarek, takich jak Safari lub Google Chrome.
Kod JavaScript w przeglądarce Tiktok w aplikacji może również umożliwić firmie dostęp do każdej akcji podjętej na ekranie, w tym haseł lub informacji o karcie kredytowej.
Chociaż Tiktok nie ma obecnie włączonej funkcji, infrastruktura jest nadal na miejscu. Krause wyjaśnił, że problem polega na tym, że firma ma infrastrukturę i systemy, aby móc śledzić naciśnięcia.
Rzecznik Tiktok powiedział, że kod jest na miejscu do celów "debugowania, rozwiązywania problemów i monitorowania wydajności", dodając, że nie zbierają one naciśnięć ani danych wejściowych tekstu za pośrednictwem kodu, który jest używany wyłącznie do wyżej wymienionych procesów. (Powiązane: Wiadomości na Androida i aplikacje dialerowe po cichu wysyłają dane do Google, twierdzi raport).
Po przyjrzeniu się kodowaniu instagrama Krause doszedł do podobnego wniosku, mówiąc, że infrastruktura platformy jest również w stanie rejestrować dotknięcia telefonu i klikać obrazy.
Gdy użytkownicy Instagrama klikają linki w aplikacji, są również przenoszeni do przeglądarki w aplikacji, która może śledzić poufne i osobiste informacje. Meta działa w podobny sposób również w przeglądarce w aplikacji.
Jednak rzecznik Meta zaprzeczył, że wszelkie prywatne informacje były zbierane.
"Używamy przeglądarek w aplikacjach, aby zapewnić bezpieczne, wygodne i niezawodne doświadczenia, takie jak upewnienie się, że automatyczne wypełnianie jest prawidłowo wypełniane lub zapobieganie przekierowywaniu ludzi do złośliwych witryn. Dodanie dowolnego z tych rodzajów funkcji wymaga dodatkowego kodu. Starannie zaprojektowaliśmy te doświadczenia, aby szanować wybory prywatności użytkowników, w tym sposób, w jaki dane mogą być wykorzystywane do reklam "- powiedział rzecznik.
Zagrożenia związane z przeglądarkami w aplikacjach
Krause, który jest także założycielem Fastlane, platformy testowej dla aplikacji na Androida i iOS nabytej przez Google pięć lat temu, powiedział, że od kilku lat bada ryzyko związane z przeglądarkami w aplikacjach. Jednak zwiększone wykorzystanie firm Big Tech zachęciło go do przyjrzenia się kodowi stojącemu za każdą platformą.
Następnie opublikował raport na temat swoich ustaleń po stworzeniu narzędzia bezpieczeństwa, zwanego InAppBrowser.com, aby każdy mógł zobaczyć, jakie aplikacje mogą je śledzić podczas korzystania z przeglądarek w aplikacjach.
Do tej pory może rozpoznać, co aplikacje takie jak Tiktok, Instagram i Meta mogą śledzić, ale nadal nie jest w stanie wskazać konkretnych danych, które każda aplikacja wybiera do zbierania, przesyłania lub używania. (Powiązane: Badanie: Wiele aplikacji zdrowotnych udostępnia poufne dane medyczne stronom trzecim, pozostawiając pacjentów narażonych na potencjalną utratę prywatności).
InAppBrowser.com mogą również znajdować polecenia osadzone w kodzie, ale pełny zakres implementacji aplikacji lub tego, co mogą robić witryny innych firm, jest nieznany ze względu na aktualizację iOS 14.3 w grudniu 2020 r., W której niektóre polecenia JavaScript mogą być niewykrywalne.
Bruce Davie, wiodący informatyk i współzałożyciel Systems Approach, powiedział, że zachowanie aplikacji tego rodzaju podważa zaufanie użytkowników do handlu elektronicznego.
"To niepokojące, aby zobaczyć, ile informacji można śledzić, o których ludzie nie są świadomi - w tym potencjalnie jakakolwiek interakcja użytkownika ze stroną internetową" - powiedział, dodając, że problem wydaje się być powszechny, a kod śledzenia zaobserwowano na Facebooku, Instagramie i Tiktok.
Krause zauważył również, że aplikacje w powijakach używają tego typu danych do znajdowania błędów i debugowania przed skalowaniem. Zwykle później usuwają funkcjonalność, ale wydaje się, że Tiktok tego nie zrobił.
"Te [możliwości śledzenia danych] nie powinny trafić do ostatecznej wersji aplikacji, z której korzystały miliony ludzi" - powiedział Krause. "To nie jest coś, co dzieje się przez pomyłkę, szczególnie w firmie tej wielkości."
Odwiedź BigTech.news, aby uzyskać więcej informacji na temat kwestii prywatności w serwisach społecznościowych.
Obejrzyj poniższy film o tym, dlaczego prywatność cyfrowa jest iluzją.
Ten film pochodzi z kanału Co się dzieje na Brighteon.com.
Przetlumaczono przez translator Google
zrodlo:https://www.naturalnews.com/
Brak komentarzy:
Prześlij komentarz