分析工具顯示Tiktok、IG App內建的瀏覽器會蒐集用戶資料

一家安全業者提供的工具發現，數個知名iOS App，包括Tiktok、Instagram（IG）、Facebook等內建的瀏覽器會悄悄蒐集用戶資料。不過Tiktok和Meta皆否認有不當蒐集的行為。

前Google工程師暨fastlane.tools網站創辦人Felix Krause提供的一項工具InAppBrowser.com，宣稱可以偵測出iOS App內建用以開啟網頁的JavaScript指令。這項工具已分享在GitHub上。

Krause並以這項工具分享了數款內建自有瀏覽器的熱門iOS App，包括Tiktok、IG、Facebook、FB Messenger、Amazon、Snapchat、以及購買加密貨幣或股票交易的Robinhood。這項分析剔除了App使用的第三方iOS瀏覽器，包括Chrome、Brave，因為它們使用JavaScript可能用於其他目的，像是作為密碼管理。蘋果要求所有第三方iOS App都必須使用Safari渲染引擎WebKit。

Krause的分析想要了解自有瀏覽器的App是否提供按鍵以用戶預設瀏覽器開啟連結；是否會注入JavaScript到第三方網站以修改內容，包括注入追蹤程式碼、注入外部JavaScript檔案及建立新的HTML元素；是否會執行JavaScript以抓取網站metadata（雖然這行為不會引起任何安全或隱私風險）；以及連到JavaScript程式碼的連結。

根據他的分析，除了Tiktok之外，所有App都允許用戶以預設瀏覽器開啟連結。但是IG、FB Messenger、Facebook卻加入Tiktok的行列，會悄悄修改網頁內容、抓取網站資料，也有一個連結連到外部JavaScript。Amazon比起前述4者只少了修改網頁內容的行為。只有Snapchat和Robinhood App是一項可疑行為也沒有的。

這工具沒有偵測到注入JavaScript的行為。但他表示這不代表沒有任何程式碼注入的行為，因為從iOS 14.3開始，蘋果推出讓JavaScript程式碼在「隔離區」執行的新方法，因此網站無法驗證究竟執行了什麼程式碼。不過作者表示，以iOS Safari開啟網頁，或是以SFSafariViewController展開網頁，就可以安心不會被注入JavaScript。

使用者也可以用這工具測試其他iOS App。方法是開啟想測試的App。然後在App可以貼連結的地方（如私訊或貼文處）貼上https: InAppBrowser.com，再以App點擊連結開啟網頁，即可看到分析報告。但作者也說，這個工具無法偵測所有執行的JavaScript指令，也無法顯示App利用原生程式碼的追蹤行為（像是客製手勢辨識）。

針對本工具的發現，《The Verge》引述Tiktok反駁這項工具的指控，表示其結論是不正確且誤導；他們並不會透過JavaScript程式碼蒐集用戶鍵擊或文字輸入，只是用於除錯、問題排除或監控效能。Meta也回應，其追蹤Script都是經過Facebook或IG用戶同意的，而且只用於發送廣告或「測量用途」。