¿Sabías que potencialmente estás siendo rastreado cuando descargas un navegador integrado en la aplicación en iOS? Una nueva herramienta revela exactamente cómo las aplicaciones como TikTok e Instagram pueden potencialmente usar JavaScript para ver información confidencial, incluida su dirección, contraseñas e información de tarjetas de crédito, sin su consentimiento.
La herramienta se puede encontrar en InAppBrowser.com. Todo lo que tiene que hacer es abrir la aplicación que desea verificar y compartir la URL de InAppBrowser.com en algún lugar; por ejemplo, enviar el enlace a un amigo o publicarlo en un comentario. Desde allí, puede tocar un enlace y obtener un informe del sitio web sobre los scripts que se ejecutan en segundo plano.
No se asuste si no conoce la jerga técnica, porque el desarrollador de la herramienta, Felix Krause, proporciona algunas preguntas frecuentes que explica exactamente lo que ves. En respuesta a las preguntas sobre cómo protegerse mejor, Krause afirma: “Cada vez que abra un enlace desde cualquier aplicación, vea si la aplicación ofrece una forma de abrir el sitio web que se muestra actualmente en su navegador predeterminado. Durante este análisis, todas las aplicaciones además de TikTok ofreció una manera de hacer esto”.
Krause es un investigador de seguridad y ex empleado de Google que a principios de este mes compartió un informe detallado cómo los navegadores de aplicaciones como Facebook, Instagram y TikTok pueden ser un riesgo para la privacidad de los usuarios de iOS.
Los navegadores en la aplicación se utilizan cuando toca una URL en la aplicación. Aunque estos navegadores se basan en WebKit de iOS Safari, los desarrolladores pueden modificarlos para ejecutar su propio código JavaScript, lo que les permite rastrear su actividad sin su permiso o el permiso de los sitios web de terceros que visita.
Las aplicaciones pueden inyectar su código JavaScript en los sitios web, lo que les permite rastrear cómo interactúa el usuario con la aplicación. Esto puede incluir información sobre cada botón o enlace que toca, las entradas del teclado y si se han tomado capturas de pantalla, aunque cada aplicación varía en cuanto a los datos que recopila.
En respuesta al informe anterior de Krause, Meta justificó el uso de estos scripts de seguimiento personalizados al afirmar que los usuarios ya dan su consentimiento para que aplicaciones como Facebook e Instagram rastreen sus datos. Meta también afirma que los datos recuperados solo se utilizarán para publicidad dirigida o “propósitos de medición” no especificados.
“Desarrollamos deliberadamente este código para respetar a las personas [Ask to track] opciones en nuestras plataformas”, dijo el vocero de Meta. “El código nos permite recopilar datos del usuario antes de usarlos con fines publicitarios o de medición”.
Agregaron: “Para las compras en el navegador de la aplicación, solicitamos el consentimiento del usuario para almacenar la información de pago para el autocompletado”.
La herramienta desarrollada por Krause no es infalible. Admite que no puede detectar todos los posibles comandos de JavaScript que se pueden ejecutar y menciona que JavaScript también se usa en el desarrollo legítimo y no es inherentemente malicioso. Él señala: “Esta herramienta no puede detectar todos los comandos de JavaScript que se ejecutan, ni muestra ningún seguimiento que una aplicación pueda hacer usando código nativo (como reconocedores de gestos personalizados)”. Sin embargo, esto brinda a los usuarios de iOS una forma fácil de verificar su huella digital en sus aplicaciones favoritas.
Krause también ha hecho que la herramienta sea de código abierto y dice que “InAppBrowser.com está diseñado para que cualquier persona compruebe por sí mismo qué están haciendo las aplicaciones en sus navegadores dentro de la aplicación. Decidí abrir el código fuente utilizado para este análisis, puede verificar aquí GitHub. Esto permite que la comunidad actualice y mejore este script con el tiempo”. Puede leer más sobre esto en en su sitio web.
Especialista web. Evangelista de viajes. Alborotador. Fanático de la música amigable con los hipster. Experto en comida
