Secondo il ricercatore di sicurezza Felix Krause, il browser in-app personalizzato di TikTok su iOS inietta codice JavaScript in siti Web esterni che consente all’app di monitorare “tutti gli input e i tocchi della tastiera” effettuati dall’utente mentre interagisce su un determinato sito.
TikTok ha spiegato che il codice non viene utilizzato per motivi dannosi, ma a quanto pare il suo browser in-app registra tutti gli input della tastiera quando un utente interagisce con un sito Web esterno, inclusi dettagli sensibili come password e informazioni sulla carta di credito, insieme a ogni tocco sullo schermo.
“Da un punto di vista tecnico, questo equivale all’installazione di un keylogger su siti Web di terze parti“, ha scritto Krause in merito al codice JavaScript iniettato da TikTok. Tuttavia, il ricercatore ha aggiunto che “solo perché un’app inietta JavaScript in siti Web esterni, non significa che l’app stia facendo qualcosa di dannoso“.
In una dichiarazione condivisa con Forbes, un portavoce di TikTok ha riconosciuto l’esistenza del codice JavaScript in questione, ma ha affermato che viene utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni per garantire una esperienza utente ottimale.
Come altre piattaforme, utilizziamo un browser in-app per fornire un’esperienza utente ottimale, ma il codice Javascript in questione viene utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni di tale esperienza, come controllare la velocità di caricamento di una pagina o se si arresta in modo anomalo.
Krause ha affermato che gli utenti che desiderano proteggersi da qualsiasi potenziale utilizzo dannoso del codice JavaScript nei browser in-app dovrebbero passare alla visualizzazione di un determinato collegamento su Safari: “Ogni volta che apri un collegamento da qualsiasi app, controlla se l’app offre un modo per aprire il sito Web nel browser predefinito. La maggior parte delle app offre un modo per farlo“.
Facebook e Instagram sono altre due app che inseriscono codice JavaScript in siti Web esterni caricati nei loro browser in-app, dando alle app la possibilità di tracciare l’attività degli utenti, secondo quanto riferito da Krause. In un tweet, un portavoce di Meta ha affermato che la società “ha sviluppato intenzionalmente questo codice per rispettare le richieste della Trasparenza del tracciamento delle app (ATT) sulle nostre piattaforme“.
Krause ha anche creato un semplice strumento che consente a chiunque di verificare se un browser in-app sta iniettando codice JavaScript durante il rendering di un sito Web. Gli utenti che vogliono effettuare questo controllo devono semplicemente aprire l’app che desiderano analizzare, condividere l’indirizzo InAppBrowser.com da qualche parte all’interno dell’app (ad esempio in un messaggio diretto a un’altra persona), toccare il collegamento all’interno dell’app per aprirlo nel browser in-app e leggere i dettagli del report.
Apple non ha risposto alle richieste di un commento in merito.