Anche il browser in-ap di TikTok potrebbe tracciare gli utenti a loro insaputa: lo ha scoperto Felix Krause, lo stesso sviluppatore di sicurezza che la settimana scorsa aveva denunciato pubblicamente la presenza della medesima possibilità nelle app di Facebook e Instagram.
Anche la strategia adottata è la stessa: attraverso il browser in-app proprietario di TikTok è possibile iniettare un codice JavaScript in tutti i siti web esterni che sostanzialmente monitora tutti gli input che avvengono sullo schermo e tramite tastiera quando l’utente naviga su un sito web.
Da un punto di vista tecnico, equivale all’installazione di un keylogger sui siti web di terze parti. Ad ogni modo come ho già detto la settimana scorsa per Facebook e Instagram, solo perché un’app inietta un codice JavaScript nei siti web esterni non significa che sta facendo qualcosa di pericoloso.
Un portavoce dell’azienda ha confermato la presenza di tale codice, sostenendo tuttavia che non viene utilizzato con cattive intenzioni:
Come altre piattaforme, usiamo il nostro browser in-app per offrire un’esperienza utente ottimale e il codice in questione viene usato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni, controllando cose come la velocità di caricamento di una pagina o un eventuale arresto anomalo.
Gli utenti che non si sentono sicuri – spiega Krause – possono aggirare il problema visitando i siti web tramite il browser predefinito del dispositivo, quindi nel caso di iPhone e iPad consiglia di spostarsi su Safari.
Ogni volta che si apre un collegamento da qualsiasi app, controllate e l’app offre un modo per aprire il sito web tramite il browser predefinito.
Occorre infatti riocordare che tutti i browser terze parti per iPhone e iPad devono utilizzare lo stesso motore WebKit di Safari, ma le società possono personalizzare il codice. Il ricercatore ha inoltre creato un semplice ma potente strumento che permette a chiunque di verificare se il browser in-app di Tiktok, o di qualsiasi altra app, sta iniettando codice JavaScript durante il rendering di un sito web.
Non bisogna far altro che aprire l’app che si intende analizzare e condividere l’indirizzo InAppBrowser.com da qualche parte all’interno dell’app (ad esempio in un messaggio diretto ad un’altra persona), quindi toccare il link dall’app per aprirlo con il browser integrato in-app e a quel punto leggere i risultati del report mostrato.
