App

Il browser in-app di TikTok su iOS può registrare tutto quello che digitate

Ma anche i browser in-app di Instagram e Facebook rappresentano un problema per privacy e sicurezza
Il browser in-app di TikTok su iOS può registrare tutto quello che digitate
Alessandro Nodari
Alessandro Nodari

Utilizzare i browser in-app non è una buona idea, secondo quanto svelato dal ricercatore di sicurezza Felix Krause. Un suo studio ha infatti rivelato che alcune app, come Instagram (come migliorare un profilo) e Facebook, iniettano codice JavaScript in siti Web di terze parti, causando potenziali rischi per la sicurezza e la privacy degli utenti.

Ora però Krause ha mostrato come TikTok vada oltre, installando l'equivalente di un vero e proprio keylogger che registra qualunque cosa digitiate, password, numeri di carte di credito e persino tocchi sullo schermo.

Canale Telegram Offerte

Usare browser in-app è una cattiva idea, ma come difendersi?

Il problema di base risiede nel fatto che le app in questione iniettano un codice JavaScript nei siti Web esterni caricati nei loro browser in-app, dando alle app la possibilità di tracciare l'attività degli utenti. Questo potrebbe rappresentare dei rischi per la privacy, perché se un'azienda può accedere ai dati degli utenti legalmente e gratuitamente, senza chiedere il permesso, li tracceranno.

Ora però è il discorso è un po' diverso, perché mentre i browser in-app di Facebook e Instagram registrano quello su cui si clicca ma non il testo che si immette, TikTok è molto più invasiva. Certo, il ricercatore avvisa del fatto che solo perché un'app inietta JavaScript in siti Web esterni, non significa che stia facendo per forza qualcosa di dannoso, ma la possibilità di farlo senza nessun controllo resta preoccupante.

Inoltre mentre le altre app consentono agli utenti di usare un browser esterno (come Safari), TikTok non dà questa possibilità. 

TikTok non dà la possibilità di usare un browser esterno. Fonte: Felix Krause

TikTok avrebbe riconosciuto l'utilizzo del codice JavaScript, ma ha affermato che viene utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni per garantire una "esperienza utente ottimale". Per quanto riguarda Facebook e Instagram, Meta ha dichiarato di aver "sviluppato intenzionalmente questo codice per onorare le scelte di Trasparenza del tracciamento delle app (ATT) delle persone sulle nostre piattaforme".

Qualunque sia la verità, Krause ribadisce che tecnicamente l'uso di browser in-app rappresenti un problema, ed è probabilmente una risposta alla nuove regole di Apple che bloccano il tracciamento (e che sono costate qualcosa come 10 miliardi di entrate a Meta). Ma come difendersi?

Prima di tutto, se possibile, usando un browser esterno. Ogni volta che aprite un collegamento da qualsiasi app, controllate se c'è un modo per farlo nel browser predefinito (tipo Safari). Questo come abbiamo visto è possibile con tutte le app, a parte TikTok.

Inoltre Krause ha creato uno strumento che consente a chiunque di verificare se un browser in-app sta iniettando codice JavaScript durante il rendering di un sito Web. Per usarlo, bisogna condividere il sito InAppBrowser con l'app in questione (per esempio con un messaggio diretto) e aprirlo con il browser in-app. Se l'app inietta un codice JavaScript, vedrete un messaggio (qui sotto un esempio per TikTok).

Browser in-app di TikTok. Fonte: Felix Krause

E Apple cosa dice? Al momento non sono giunti commenti, ma se volete leggere lo studio di Felix Krause, potete recarvi al suo sito, veramente illuminante.

Mostra i commenti