🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]
¿Sabes que algunas apps no abren un navegador externo cuando haces clic en un enlace, sino que abren dicho enlace en su propio navegador dentro de la app?
Esto permite a estas aplicaciones controlar lo que haces. Y entre las aplicaciones más populares que hacen esto, TikTok parece ser de las peores.
El investigador de seguridad Felix Krause anunció el lanzamiento de InAppBrowser, una herramienta que enumera todos los comandos JavaScript ejecutados por una aplicación de iOS cuando su navegador in-app renderiza una página web.
Para demostrar lo que la herramienta puede hacer, Krause analizó algunas aplicaciones populares de iOS que tienen un navegador integrado, y los resultados son sorprendentes.
Aplicaciones como TikTok, Instagram, Facebook Messenger y Facebook modifican las páginas web que se abren en el navegador de la aplicación.
Esto incluye la adición de código de seguimiento (como entradas, selecciones de texto, toques, etc.), la inyección de archivos JavaScript externos, así como la creación de nuevos elementos HTML.
También obtienen metadatos del sitio web, aunque Krause dice que esto es «inofensivo».
Cuando Krause profundizó un poco más en lo que realmente hacen los navegadores in-app de estas aplicaciones, descubrió que TikTok monitoriza de todas las entradas y pulsaciones del teclado de los usuarios.
Así, si abres una página web dentro de la aplicación de TikTok e introduces allí los datos de tu tarjeta de crédito, TikTok puede acceder a todos esos datos. TikTok es también la única app, de todas las que Krause ha investigado, que ni siquiera ofrece una opción para abrir el enlace en el navegador por defecto del dispositivo, obligando a pasar por su propio navegador dentro de la aplicación.
En una declaración a Forbes, un portavoz de TikTok confirmó la práctica, pero dice que «el código Javascript en cuestión se utiliza sólo para la depuración, la solución de problemas y la supervisión del rendimiento de esa experiencia.»
Otras apps , como Instagram, también hacen algún tipo de monitorización, aunque ninguna llega tan lejos como TikTok. Snapchat se comporta bien, ya que no modifica la págins web ni obtienen sus metadatos de los sitios que abres en sus navegadores in-app.
Krause advierte que las aplicaciones tienen una forma de ocultar su actividad de JavaScript de su herramienta InAppBrowser, lo que significa que podrían estar haciendo más monitorización de la que conocemos. Por ahora, la única forma de asegurarse de que no puedan hacer ningún seguimiento es abrir los sitios web en el navegador predeterminado del dispositivo, si es que la aplicación ofrece esta opción.