In un post sul blog giovedì, il ricercatore di sicurezza Felix Krause ha annunciato il lancio di InAppBrowser, uno strumento che elenca tutti i comandi JavaScript eseguiti da un’app iOS mentre il suo browser in-app esegue il rendering di una pagina web.
Per mostrare cosa può fare lo strumento, Krause ha analizzato alcune popolari app iOS che hanno un browser in-app e i risultati sono inquietanti. I dati di Krause mostrano che le app, tra cui TikTok, Instagram, Facebook Messenger e Facebook, modificano tutte le pagine web aperte nel browser in-app. “Ciò include l’aggiunta di codice di monitoraggio (come input, selezioni di testo, tocchi, ecc.), oltre che l’inserimento di file JavaScript esterni e la creazione di nuovi elementi HTML“, afferma Krause.
Quindi, se apri una pagina web all’interno dell’app di TikTok e inserisci lì i dettagli della tua carta di credito, TikTok può accedere a tutti questi dettagli. TikTok è anche l’unica app, tra tutte le app esaminate da Krause, che non offre nemmeno un’opzione per aprire il collegamento nel browser predefinito del dispositivo, costringendoti a utilizzare il proprio browser in-app.
In una chat con Motherboard, Krause ha spiegato che il suo rapporto “non dice che TikTok stia effettivamente registrando e utilizzando questi dati“. La società ha detto che le sue scoperte sono “errate e fuorvianti“. “Non raccogliamo sequenze di tasti o input di testo tramite questo codice, che viene utilizzato esclusivamente per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni“, ha affermato un portavoce di TikTok.
In una dichiarazione a Forbes, un portavoce ha confermato la pratica, ma afferma che “il codice Javascript in questione viene utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni di tale esperienza“. È tutto necessario per fornire “un’esperienza utente ottimale”, ha affermato.
Anche altre app che Krause ha esaminato, come Instagram, effettuano un monitoraggio autonomo, anche se nessuna arriva a quello che fa TikTok.