一家安全企业提供的工具发现,数个知名iOS App,包括Tiktok、Instagram(IG)、Facebook等内置的浏览器会悄悄搜集用户资料。不过Tiktok和Meta皆否认有不当搜集的行为。
前Google工程师暨fastlane.tools网站创办人Felix Krause提供的一项工具InAppBrowser.com,宣称可以侦测出iOS App内置用以打开网页的JavaScript指令。这项工具已分享在GitHub上。
Krause并以这项工具分享了数款内置自有浏览器的热门iOS App,包括Tiktok、IG、Facebook、FB Messenger、Amazon、Snapchat、以及购买加密货币或股票交易的Robinhood。这项分析剔除了App使用的第三方iOS浏览器,包括Chrome、Brave,因为它们使用JavaScript可能用于其他目的,像是作为密码管理。苹果要求所有第三方iOS App都必须使用Safari渲染引擎WebKit。
Krause的分析想要了解自有浏览器的App是否提供按钮以用户默认浏览器打开连接;是否会注入JavaScript到第三方网站以修改内容,包括注入关注程序代码、注入外部JavaScript文件及创建新的HTML元素;是否会执行JavaScript以抓取网站metadata(虽然这行为不会引起任何安全或隐私风险);以及连到JavaScript程序代码的连接。
根据他的分析,除了Tiktok之外,所有App都允许用户以默认浏览器打开连接。但是IG、FB Messenger、Facebook却加入Tiktok的行列,会悄悄修改网页内容、抓取网站资料,也有一个连接连到外部JavaScript。Amazon比起前述4者只少了修改网页内容的行为。只有Snapchat和Robinhood App是一项可疑行为也没有的。
这工具没有侦测到注入JavaScript的行为。但他表示这不代表没有任何程序代码注入的行为,因为从iOS 14.3开始,苹果推出让JavaScript程序代码在“隔离区”执行的新方法,因此网站无法验证究竟执行了什么程序代码。不过作者表示,以iOS Safari打开网页,或是以SFSafariViewController展开网页,就可以安心不会被注入JavaScript。
用户也可以用这工具测试其他iOS App。方法是打开想测试的App。然后在App可以贴连接的地方(如私信或贴文处)粘贴https: InAppBrowser.com,再以App点击连接打开网页,即可看到分析报告。但作者也说,这个工具无法侦测所有执行的JavaScript指令,也无法显示App利用原生程序代码的关注行为(像是定制手势识别)。
针对本工具的发现,《The Verge》引述Tiktok反驳这项工具的指控,表示其结论是不正确且误导;他们并不会通过JavaScript程序代码搜集用户键击或文本输入,只是用于调试、问题排除或监控性能。Meta也回应,其关注Script都是经过Facebook或IG用户同意的,而且只用于发送广告或“测量用途”。