Inquietante: ecco come i browser di TikTok e Instagram tracciano i nostri dati
Forse è arrivato il momento di fare più attenzione alle app che usiamo. Secondo il ricercatore di sicurezza Felix Krause, su iOS il browser di TikTok – ma anche quello di Instagram e chissà quanti altri – inietta codice JavaScript in siti web esterni. Questo permette a TikTok e Instagram di tenere traccia dei dati personali. Insomma, TikTok spia gli utenti? La piattaforma lo nega. Scopriamo di più.
L’allarme arriva da Krause, ricercatore di sicurezza ed ex dipendente di Google. All’inizio di questo mese lo sviluppatore ha condiviso un rapporto dettagliato su come i browser all’interno di app come Facebook, Instagram e TikTok possono rappresentare un rischio per la privacy degli utenti iOS.
Krause ha affermato che il browser in-app di TikTok “si iscrive” a tutti gli input della tastiera nel momento in cui l’utente interagisce con un sito web esterno. Sarebbe dunque in grado di monitorare tutte le attività che un utente svolge quando interagisce con un sito Web. Dunque, il browser di TikTok registrerebbe tutto, inclusi i dettagli sensibili come password e informazioni sulla carta di credito e ogni tocco sullo schermo.
“Da un punto di vista tecnico, questo equivale ad installare un keylogger su siti web di terze parti”, ha scritto Krause, in merito al codice JavaScript iniettato da TikTok. Tuttavia, il ricercatore ha aggiunto che “solo perché un’app inietta JavaScript in siti web esterni, non significa che l’app stia facendo qualcosa di nocivo”.
Il browser di TikTok ci spia? Ecco cosa accade
Come possiamo immaginare, TikTok si è precipitato a fornire spiegazioni. In una dichiarazione condivisa con Forbes, un portavoce della piattaforma ha riconosciuto il codice JavaScript in questione. Ha però affermato che lo script è utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni. Il tutto, per garantire un’esperienza utente ottimale.
Questa la dichiarazione ufficiale. “Come altre piattaforme, utilizziamo un browser in-app per fornire un’esperienza ottimale, ma il codice Javascript in questione viene utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni di tale esperienza, come controllare la velocità di caricamento di una pagina o se si arresta in modo anomalo”.
Dov’è la verità? E come ci si può tutelare dalle indebite intromissioni delle app?
Mentre Apple non ha ancora reso commenti sulle affermazioni di Krause, lo sviluppatore ha rassicurato gli utenti che desiderano proteggersi da qualsiasi potenziale utilizzo nocivo del codice JavaScript nei browser in-app. Questi infatti dovrebbero semplicemente passare alla visualizzazione di un determinato link nel browser predefinito della piattaforma. In breve, anziché aprire l’app bisognerebbe raggiungere il suo sito ufficiale nel browser, come Safari su iPhone e iPad.
Non solo. “Ogni volta che apri un collegamento da qualsiasi app, controlla se l’app offre un modo per aprire il sito Web nel browser predefinito“, ha scritto Krause. “Durante questa analisi, ogni app oltre a TikTok ha offerto un modo per farlo.”
Oltre a TikTok, Facebook e Instagram sono altre due app che inseriscono il codice JavaScript in siti Web esterni caricati nei loro browser in-app, dando alle app la possibilità di tracciare l’attività degli utenti, secondo Krause. In un tweet un portavoce di Meta, società madre di Facebook e Instagram, ha affermato che la società “ha sviluppato intenzionalmente questo codice per onorare le scelte di trasparenza del tracciamento delle app (ATT) delle persone sulle nostre piattaforme”.
Come proteggersi dal tracciamento in-app: inappbrowser
Krause ha creato un semplice strumento che consente a chiunque di verificare se un browser web incorporato in un’app sta iniettando codice JavaScript durante il rendering di un sito web. Il ricercatore ha fornito anche le istruzioni per scoprire quali app stanno monitorando le nostre attività.
L’uso dello strumento InAppBrowser è abbastanza semplice. Gli utenti devono semplicemente aprire l’app che desiderano analizzare e condividere l’URL “https://InAppBrowser.com” da qualche parte all’interno dell’app; ad esempio, inviandola ad un amico. A questo punto è possibile cliccare il link all’interno dell’app per aprirlo e leggere i dettagli del report mostrato sui comandi JavaScript.
Usando questo metodo, si può scoprire facilmente che TikTok riesce a monitorare tutti gli input della tastiera e i tocchi dello schermo quando viene aperto un URL utilizzando il browser in-app. Instagram può persino rilevare tutte le selezioni di testo sui siti Web.
Come dicevamo, lo sviluppatore ha precisato che non tutte le app che iniettano codice JavaScript in un browser in-app lo fanno per scopi dannosi. Infatti JavaScript è alla base di molte funzionalità web. Ma possiamo davvero stare tranquilli se ormai è certo che lo smartphone ci ascolta, l’ultimo furto dati Facebook ha interessato ben 400 app e 1 milione di utenti e le app ci spiano in continuazione?