da Hardware Upgrade :
Il ricercatore di sicurezza Felix Krause, che la scorsa settimana aveva
evidenziato la presenza di un codice di tracciamento all’interno delle
app di Meta per iOS, ha scoperto un comportamento simile anche nel
browser in-app dell’applicazione TikTok per iOS. Anche in questo
caso infatti Krause ha individuato che il browser inietta un codice
JavaScript nei siti web visitati tramite esso e che permette a
TikTok di tracciare tutti gli input e i tocchi della tastiera mentre
l’utente sta interagendo con il sito.
Krause sottolinea che dal momento che vengono tracciati tutti gli
input della tastiera, ovviamente anche qualsiasi password o altra
informazione sensibile pu essere registrata. “Dal punto di vista
tecnico come se si trattasse di un keylogger su siti web terzi”. Krause
ha comunque voluto specificare che la presenza di questo codice non da
sola prova del fatto che l’app stia facendo qualcosa di dannoso.
TikTok ha riconosciuto la presenza del codice in questione, ma afferma
che si tratta di una misura che non viene usata per scopi diversi dal
debug, dalla risoluzione dei problemi e dal monitoraggio delle
prestazioni. Un portavoce della societ ha dichiarato a Forbes: “Come
altre piattaforme facciamo uso di un browser in-app per fornire
un’esperienza utente ottimale, ma il codice Javascript in questione viene
usato solo per debug, risoluzione di problemi e monitoraggio delle
prestazioni di tale esperienza, come controllare la velocit di
caricamento di una pagina o un eventuale arresto anomalo”.
Il ricercatore consiglia di utilizzare, per una maggiore cautela, il
browser predefinito su iOS evitando qualsiasi browser in-app. Per fare
questo sono possibili due strade: la prima verificare che l’app metta a
disposizione la possibilit di aprire il collegamento in un browser
esterno, mentre la seconda quella di copiare “a manina” il collegamento
nella barra degli indirizzi del browser e assicurarsi eventualmente che
nell’indirizzo stesso non siano presenti eventuali suffissi anomali.
Krause ha realizzato
uno strumento che permette a chiunque di verificare se un browser
in-app sta iniettando codice JavaScript durante il caricamento di un sito
web: sufficiente aprire l’app che si desidera analizzare, condividere
l’indirizzo InAppBrowser.com all’interno dell’app cos da poterlo aprire
con il browser inegrato e visionare i dettagli del resoconto che viene
mostrato.
Quando Krause aveva individuato questo comportamento nelle app di Meta,
la societ aveva replicato affermando che si tratta di un codice
“sviluppato intenzionalmente per onorare le scelte di trapsarenza del
tracciamento delle app delle persone” sulle loro piattaforme.