一家安全業者提供的工具發現,數個知名iOS App,包括Tiktok、Instagram(IG)、Facebook等內建的瀏覽器會悄悄蒐集用戶資料。不過Tiktok和Meta皆否認有不當蒐集的行為。
前Google工程師暨fastlane.tools網站創辦人Felix Krause提供的一項工具InAppBrowser.com,宣稱可以偵測出iOS App內建用以開啟網頁的JavaScript指令。這項工具已分享在GitHub上。
Krause並以這項工具分享了數款內建自有瀏覽器的熱門iOS App,包括Tiktok、IG、Facebook、FB Messenger、Amazon、Snapchat、以及購買加密貨幣或股票交易的Robinhood。這項分析剔除了App使用的第三方iOS瀏覽器,包括Chrome、Brave,因為它們使用JavaScript可能用於其他目的,像是作為密碼管理。蘋果要求所有第三方iOS App都必須使用Safari渲染引擎WebKit。
Krause的分析想要了解自有瀏覽器的App是否提供按鍵以用戶預設瀏覽器開啟連結;是否會注入JavaScript到第三方網站以修改內容,包括注入追蹤程式碼、注入外部JavaScript檔案及建立新的HTML元素;是否會執行JavaScript以抓取網站metadata(雖然這行為不會引起任何安全或隱私風險);以及連到JavaScript程式碼的連結。
根據他的分析,除了Tiktok之外,所有App都允許用戶以預設瀏覽器開啟連結。但是IG、FB Messenger、Facebook卻加入Tiktok的行列,會悄悄修改網頁內容、抓取網站資料,也有一個連結連到外部JavaScript。Amazon比起前述4者只少了修改網頁內容的行為。只有Snapchat和Robinhood App是一項可疑行為也沒有的。
這工具沒有偵測到注入JavaScript的行為。但他表示這不代表沒有任何程式碼注入的行為,因為從iOS 14.3開始,蘋果推出讓JavaScript程式碼在「隔離區」執行的新方法,因此網站無法驗證究竟執行了什麼程式碼。不過作者表示,以iOS Safari開啟網頁,或是以SFSafariViewController展開網頁,就可以安心不會被注入JavaScript。
使用者也可以用這工具測試其他iOS App。方法是開啟想測試的App。然後在App可以貼連結的地方(如私訊或貼文處)貼上https: InAppBrowser.com,再以App點擊連結開啟網頁,即可看到分析報告。但作者也說,這個工具無法偵測所有執行的JavaScript指令,也無法顯示App利用原生程式碼的追蹤行為(像是客製手勢辨識)。
針對本工具的發現,《The Verge》引述Tiktok反駁這項工具的指控,表示其結論是不正確且誤導;他們並不會透過JavaScript程式碼蒐集用戶鍵擊或文字輸入,只是用於除錯、問題排除或監控效能。Meta也回應,其追蹤Script都是經過Facebook或IG用戶同意的,而且只用於發送廣告或「測量用途」。
熱門新聞
2024-12-16
2024-12-16
2024-12-16
2024-12-16