Una nueva investigación reveló que las plataformas de redes sociales Meta, Instagram y Tiktok pueden obtener acceso a la información personal de los usuarios cuando se ingresan en el navegador de la aplicación.
El ingeniero de software e investigador de seguridad Felix Krause investigó la codificación integrada en Tiktok, la infraestructura de la aplicación producida en China, lo que llevó a esta revelación. Los usuarios que hacen clic en los enlaces en Tiktok son dirigidos a un navegador nativo en la aplicación que produjeron, y no a los navegadores predeterminados como Safari o Google Chrome.
El código JavaScript en el navegador de la aplicación de Tiktok también puede permitir que la empresa acceda a todas las acciones realizadas en la pantalla, incluidas las contraseñas o la información de la tarjeta de crédito.
Si bien Tiktok no tiene la función habilitada en este momento, la infraestructura aún está en su lugar. Krause explicó que el problema es que la empresa tiene la infraestructura y los sistemas para poder rastrear las pulsaciones de teclas .
Un portavoz de Tiktok dijo que el código está implementado para fines de «depuración, solución de problemas y monitoreo del rendimiento», y agregó que no recopilan pulsaciones de teclas ni entradas de texto a través del código, que se usa únicamente para los procesos mencionados anteriormente.
Después de analizar la codificación de Instagram, Krause llegó a una conclusión similar y dijo que la infraestructura de la plataforma también puede registrar escuchas telefónicas y hacer clic en imágenes.
Cuando los usuarios de Instagram hacen clic en los enlaces de la aplicación, también se les lleva a un navegador en la aplicación que podría rastrear información confidencial y personal. Meta también funciona de manera similar en su navegador en la aplicación.
Sin embargo, un vocero de Meta refutó que se estuviera recolectando información privada.
“Utilizamos navegadores en la aplicación para permitir experiencias seguras, convenientes y confiables, como asegurarnos de que el autocompletado se complete correctamente o evitar que las personas sean redirigidas a sitios maliciosos. Agregar cualquiera de estos tipos de funciones requiere código adicional. Hemos diseñado cuidadosamente estas experiencias para respetar las opciones de privacidad de los usuarios, incluida la forma en que se pueden usar los datos para los anuncios”, dijo el portavoz.
Riesgos de los navegadores integrados en aplicaciones
Krause, quien también es el fundador de Fastlane, una plataforma de prueba para aplicaciones de Android e iOS adquirida por Google hace cinco años, dijo que ha estado investigando los riesgos de los navegadores dentro de la aplicación durante varios años. Sin embargo, el mayor uso de las grandes empresas tecnológicas lo impulsó a mirar el código detrás de cada plataforma.
Luego publicó un informe sobre sus hallazgos después de crear una herramienta de seguridad, llamada InAppBrowser.com, para que cualquiera pueda ver qué aplicaciones pueden rastrearlos cuando usan navegadores en la aplicación.
Hasta ahora, puede reconocer qué aplicaciones como Tiktok, Instagram y Meta pueden rastrear, pero aún no puede señalar datos específicos que cada aplicación elige recopilar, transferir o usar.
InAppBrowser.com también puede encontrar comandos incrustados en el código, pero se desconoce el alcance total de lo que implementan las aplicaciones o lo que pueden hacer los sitios web de terceros debido a una actualización de iOS 14.3 en diciembre de 2020, donde algunos comandos de JavaScript pueden ser indetectables.
Bruce Davie, un científico informático líder y cofundador de Systems Approach, dijo que el comportamiento de las aplicaciones de esta naturaleza socava la confianza del usuario en el comercio electrónico.
“Es alarmante ver cuánta información se puede rastrear de la que las personas no son conscientes, incluida potencialmente cualquier interacción del usuario con un sitio web”, dijo, y agregó que el problema parece estar muy extendido, con el código de seguimiento observado en Facebook, Instagram y Tiktok.
Krause también señaló que las aplicaciones en su infancia usan este tipo de datos para encontrar errores y depurar antes de escalar. Por lo general, luego eliminan la funcionalidad, pero Tiktok parece no haberlo hecho.
“Esas [capacidades de seguimiento de datos] no deberían terminar en la versión final de la aplicación que han utilizado millones de personas”, dijo Krause. “Eso no es algo que suceda por error, especialmente en una empresa de este tamaño”..
–
FUENTE
cybermedios.org 