Přibližně před měsícem internetem kolovala zpráva, v níž šéf americké Federální komise pro komunikaci vyzval zástupce Applu a Googlu, aby ze svých obchodů odstranili sociální síť TikTok. Důvodem pro to byla celá řada bezpečnostních nedostatků, v jejichž důsledku lze sledovat uživatele. Podle něj má aplikace sbírat kupříkladu historii vyhledávání, otisky obličeje, samply hlasu či dokonce vzorce psaní na klávesnici a data uložená ve schránce.
Nyní se k výzvám být zvýšeně obezřetný připojil také nezávislý bezpečnostní analytik Felix Krause, který objevil potenciálně škodlivý kód v iOS aplikaci nejen TikToku, ale také Facebooku či Instagramu. Ty do svých aplikací implantují kód, který umožňuje monitorovat všechny stisky klávesnice a dotyky obrazovky, což známe jako keylogging.
These claims misrepresent how Meta’s in-app browser and Pixel work. We intentionally developed this code to honor people’s App Tracking Transparency (ATT) choices on our platforms. We have communicated this to the researcher.
— Andy Stone (@andymstone) August 11, 2022
Tomuto riziku jsou uživatelé vystaveni ve chvíli, kdy v rámci aplikací kliknou na odkazy, které se otevřou v integrovaných webových prohlížečích. Ty využívají JavaScript pro potenciální sledování a nezastaví je ani to, že ty na iOS využívají WebKit ze Safari – vývojáři si totiž mohou přidávat vlastní kódy. Díky nim tak mohou sledovat veškerou aktivitu včetně zadávání citlivých údajů, jako jsou hesla nebo čísla platebních karet.
Na vině je vestavěný prohlížeč webových stránek
V případě Facebooku nebo Instagramu se tomuto sledování lze vyhnout, pokud odkaz otevřete v klasickém prohlížeči. V případě TikToku ale tuto možnost uživatelé nemají, a proto by se měli mít na pozoru, co skrze integrovaný prohlížeč zadávají. Na informace Krause zareagovala také společnost Meta, která uvedla, že zmíněný JavaScript byl do aplikací zahrnut s ohledem na soukromí uživatelů, přičemž jeho využívání mohou odmítnout.
Také Krause připouští, že využívání JavaScriptu je běžnou praxí – nemusí se automaticky jednat o nekalou praktiku. Pokud ale přeci jen máte obavy, můžete využít jím vytvořenou stránku InAppBrowser.com a zkontrolovat si, zda vás aplikace špehuje, či nikoli. Nutno podotknout, že JavaScript může být natolik dobře implementován, že jej Krausovy stránky nerozpoznají. Nejlepší je pokud možno vždy otevírat odkazy v klasickém prohlížeči a nevyužívat ty integrované.
