Este sitio web le dice qué información pueden rastrear las aplicaciones

¿Sabía que es posible que lo rastreen cuando carga un navegador integrado en la aplicación en iOS? Una nueva herramienta revela exactamente cómo las aplicaciones como TikTok e Instagram pueden usar JavaScript para mostrar datos confidenciales, incluida la dirección, las contraseñas y la información de la tarjeta de crédito, sin su consentimiento.

La herramienta se puede encontrar en InAppBrowser.com. Todo lo que tiene que hacer es abrir la aplicación que desea verificar y compartir la URL de InAppBrowser.com en algún lugar interno, como enviar un enlace directo a un amigo o publicarlo en un comentario. Desde allí, puede hacer clic en el enlace y obtener un informe del sitio web sobre qué scripts se están ejecutando en segundo plano.

No tenga miedo si no está familiarizado con los términos técnicos, como el desarrollador de la herramienta, Felix Krause, Proporciona algunas preguntas frecuentes Explique exactamente lo que ve. En respuesta a las preguntas sobre la mejor manera de protegerse, Krause dice: «Cada vez que abra un enlace desde cualquier aplicación, verifique si la aplicación proporciona una forma de abrir el sitio web que se muestra actualmente en su navegador predeterminado. Durante este análisis, cada aplicación además de TikTok proporcionó una manera de hacerlo».

Krause es un investigador de seguridad y ex empleado de Google que estuvo a principios de este mes Comparte un informe detallado Acerca de cómo los navegadores dentro de aplicaciones como Facebook, Instagram y TikTok pueden representar un riesgo para la privacidad de los usuarios de iOS.

Los navegadores integrados en la aplicación se utilizan cuando hace clic en una URL integrada en la aplicación. Si bien estos navegadores se basan en WebKit de Safari en iOS, los desarrolladores pueden modificarlo para ejecutar su propio código JavaScript, lo que les permite rastrear su actividad sin su consentimiento o los sitios web de terceros que visite.

Las aplicaciones pueden inyectar su propio código JavaScript en los sitios web, lo que les permite controlar cómo interactúa el usuario con la aplicación. Esto puede incluir información sobre cada botón o enlace en el que hace clic, entradas de teclado y si se tomaron capturas de pantalla, aunque cada aplicación diferirá en la información que recopila.

En respuesta al informe anterior de KrauseMeta ha justificado el uso de estos scripts de seguimiento personalizados al afirmar que los usuarios ya dan su consentimiento para que aplicaciones como Facebook e Instagram rastreen sus datos. Meta también afirma que los datos recuperados solo se utilizan para publicidad dirigida o «propósitos de medición» no especificados.

“Desarrollamos deliberadamente este blog para honrar a las personas [Ask to track] opciones en nuestra plataforma «, dijo un portavoz de Meta. «El código nos permite recopilar datos del usuario antes de que se utilice para publicidad dirigida o fines de medición».

«Para las compras realizadas a través del navegador de la aplicación, buscamos el consentimiento del usuario para guardar la información de pago con fines de autocompletado», agregaron.

La herramienta desarrollada por Krause no es infalible. Admite que no puede detectar todos los posibles comandos de JavaScript que se están ejecutando y afirma que JavaScript también se usa en el desarrollo legítimo y no es inherentemente malicioso. Señala que «esta herramienta no puede detectar todos los comandos de JavaScript ejecutados, ni muestra ningún seguimiento que la aplicación pueda hacer con el código nativo (como los reconocedores de gestos personalizados)». Sin embargo, esto proporciona una forma fácil de usar para que los usuarios de iOS verifiquen su huella digital a través de sus aplicaciones favoritas.

Krause también hizo que la herramienta fuera de código abierto y señaló que «InAppBrowser.com está diseñado para que todos puedan verificar por sí mismos qué aplicaciones dentro de los navegadores están haciendo dentro de una aplicación. Decidí abrir el código fuente utilizado para este análisis, puede verificarlo fuera en github. Esto permite que la comunidad actualice y mejore este script con el tiempo». Puede leer más al respecto su sitio web.