REKLAMA

TikTok i Instagram mogą przechwytywać hasła

Aplikacja serwisów społecznościowych takich jak TikTok i Instagram, chociaż są dostępne w App Storze, mogą działać niczym keyloggery. Śledzenie każdego naszego ruchu przez ich mini-przeglądarki internetowe to małe piwo, skoro działanie skryptów obejmuje możliwość przechwycenia wszystkiego, co wpisujemy na klawiaturze. Dotyczy to nawet haseł, kodów PIN i numerów kart płatniczych. Jak się przed tym bronić?

19.08.2022 13.35
tiktok-instagram-webview-keylogger-apple-safari 0
REKLAMA

Aplikacje mobilne obsługują linki do stron internetowych na dwa sposoby. Niektóre przekierowują do systemowej przeglądarki internetowej, podczas gdy inne, takie jak TikTok czy Instagram, otwierają własną mini-przeglądarkę. W wielu wypadkach taki WebView nie istnieje jednak dla wygody użytkownika ani nawet po to, by zatrzymać go w obrębie swojej aplikacji na dłużej. Dzięki tej sztuczce są w stanie śledzić każdy nasz ruch na dowolnej stronie internetowej.

REKLAMA

Czytaj też:

TikTok i Instagram niczym keyloggery

Mianem keyloggera określa się złośliwe oprogramowanie, którego zadaniem jest przechwytywanie wszystkiego, co wpisujemy z klawiatury. Dzięki temu cyberprzestępcy są w stanie przechwycić nasze hasła, kody PIN, numery kart płatniczych itp. oraz w zasadzie wszystkie inne wklepywane przez nas treści. Co gorsza, oficjalne aplikacje mobilne serwisów społecznościowych mogą działać na identycznej zasadzie właśnie dzięki wbudowanej mini-przeglądarce.

Jak wykazuje autor strony krausefx.com, takie praktyki stosują między innymi TikTok i Instagram. Jeśli tylko otworzymy z poziomu tych popularnych aplikacji stronę internetową bez przechodzenia do Safari (albo innej przeglądarki dostępnej w formie osobnej aplikacji takiej jak np. Chrome), do witryny dodawany jest kod CSS. Ma on za zadanie śledzić, w którym miejscu dotykamy ekranu oraz jakie znaki wprowadzamy za pomocą klawiatury.

Nie ma przy tym dowodów na to, by twórcy TikToka albo Instagrama faktycznie wykradali danych naszych kart płatniczych, hasła itp. Zwłaszcza w przypadku tego drugiego nie miałoby to żadnego sensu, bo i tak cenniejsze są dla nich metadane na nasz temat. Warto jednak mieć gdzieś z tyłu głowy, że przecież podobne sztuczki mogą stosować mniej znane aplikacje od deweloperów, którzy nie będą mieli moralnych oporów przed wykorzystaniem pozyskanych w ten sposób informacji.

 class="wp-image-2307231"
Taki komunikat wyświetla strona InAppBrowser.com po otwarciu w Instagramie

Na szczęście można określić, które aplikacje wykorzystują WebView do przechwytywania danych.

Strona internetowa InAppBrowser.com to narzędzie, które pozwala sprawdzić, czy po otwarciu strony bezpośrednio w aplilakcji wykonywany jest dodatkowy kod Javascript. Nie jest ono niestety w stanie wykryć wszystkich metod śledzenia użytkownika, ale i tak łapie usługi takie jak TikTok oraz Instagram na gorącym uczynku. Podobnie zachowują się zresztą aplikacje Facebook i Messenger (podczas gdy np. Snapchat nie korzysta z tego typu sztuczek).

Analiza działania aplikacji TikTok podnosi przy tym najwięcej czerwonych flag. Aplikacja otwiera wszystkie linki w ramach WebView i nie da się tego uniknąć. Chińska firma ma możliwość przechwycenia wszystkich danych wprowadzanych za pomocą klawiatury, w tym tych wrażliwych. Na tym tle śledzenie tego, w które elementy strony tąpnęliśmy palcem i jak scrollujemy stronę, wygląda wręcz niewinnie (chociaż po prawdzie jest to sporym naruszeniem prywatności!).

W przypadku Instagrama otwarcie linka w formie WebView również otwiera drogę do zbierania danych na nasz temat na temat tapnieć w ekran. Firma dołącza do stron internetowych plik pcm.js. A czy informacje są zbierane i przetwarzane? Tego nie sposób stwierdzić. Meta niby obiecuje, że nie wykorzystuje go w żadnym niecnym celu, ale po licznych skandalach takich jak np. ten związany z Cambridge Analytica trudno na tym etapie zaufać Markowi Zuckerbergowi.

Lepiej nie korzystać z mini-przeglądarek w aplikacjach takich jak TikTok lub Instagram

Jak się bronić przed zbieraniem danych przez aplikacje mobilne z takimi mini-przeglądarkami?

Tak naprawdę jedynym sposobem na to, by się uchronić przed śledzeniem, jest przechodzenie do domyślnej całkowitym pominięciem tej zaszytej w aplikacji mobilnej. Niektóre z programów korzystają też z przygotowanego przez Apple'a SFSafariViewController, czyli instancji Safari otwieranej w ramach programu, co również można uznać za bezpieczne. Z tego rozwiązania korzystają aplikacje takie jak Twitter, Reddit, Telegram, Signal oraz Microsoft Outlook.

Jeśli mamy już aplikację, która ma własną mini-przeglądarkę i nie chcemy jej usuwać, to warto ręcznie kopiować linki i wklejać je do Safari (albo Chrome'a lub innej przeglądarki). Do tego takie okienka WebView mają czasem (ale nie zawsze) guzik pozwalający otworzyć www w przeglądarce systemowej. Warto jednak pamiętać, że taki Facebook i z tym kombinuje - ostatnio zmodyfikował nawet parametry adresów URL, aby utrudnić odcięcie kodów śledzących...

Sam staram się od dawna unikać okienek typu WebView jak ognia z tego względu, że korzystanie z nich jest najzwyczajniej w świecie... upierdliwe. Po otwarciu linku z Instagrama (do np. obrazka na Twitterze) musiałbym się najpierw zalogować do tego drugiego serwisu, co w świetle powyższych informacji nie jest najlepszym pomysłem. Zawsze wtedy, gdy jest taka możliwość, wolę otworzyć link w Safari (lub przejść do apki spiętej z daną stroną, gdy jest taka opcja).

 class="wp-image-2307123"
Korzystacie z tych aplikacji? No to uważajcie (źródło: krausefx.com)

Najwyższa pora, aby twórcy systemów mobilnych ukrócili te praktyki twórców aplikacji.

Dobrym pomysłem byłoby dopuszczanie do sklepów z aplikacjami wyłącznie takich programów, które stosują SFSafariViewController, co włożyłoby patyk w szprychy twórcom takich aplikacji jak Instagram oraz TikTok. Oby tylko Apple, który (pomimo wpadek) z prywatności uczynił atut iPhone'a, nie wylał dziecka z kąpielą. WebView ma zastosowania i są scenariusze, w których się sprawdza (np. otwarcie www z opcją wyboru miejsca w samolocie w aplikacji linii lotniczej).

Z drugiej strony nie zdziwię się, jeśli Apple w ogóle tego tematu nie poruszy. Tak jak firma z Cupertino uderzyła w Facebooka (już po tym, gdy fiaskiem zakończyli się rozmowy o podziale zysków ze śledzenia użytkowników...) wprowadzając nowe funkcje ochrony prywatności, tak wyrzucenie WebView wymierzone byłoby przeciwko TikTokowi. Mogłoby to spowodować napięcia na linii Cupertino-Pekin, a jak już wiemy, Tim Cook nie potrafi się postawić Chinom.

REKLAMA

Warto przy tym dodać, że to nie pierwszy raz, gdy twórcy aplikacji zostali przyłapani na niecnych praktykach. Kilka lat temu iOS zaczął wyświetlać użytkownikom monit, gdy po wejściu do aplikacji odczytywana była zawartość schowka. Dzięki temu dowiedzieliśmy się, że TikTok, Viber, AccuWeather, LinkedIn, Aliexpress, mBank, PUBG Mobile oraz liczne inne programy dostępne w App Storze uzyskują dostęp do naszych danych bez wyraźnej zgody.

Niestety ochrona prywatności nie zawsze idzie w parze z wygodą. Już kilka wersji temu oprogramowanie do iPhone'ów zaczęło wymagać potwierdzenia przy dodawaniu linków do Listy Czytelnia w Safari, co jest uciążliwe podczas np. korzystania z aplikacji do obsługi kanałów RSS. iOS 16 i iPadOS 16 wprowadzą z kolei dodatkowe monity, w których będziemy musieli potwierdzić, że faktycznie chcemy wkleić tekst z jednej aplikacji do innej.

REKLAMA
Najnowsze
REKLAMA
REKLAMA
REKLAMA