Monitoreo de usuarios a través de aplicaciones en iOS

La semana pasada el investigador Felix Krause publicó un informe sobre los riesgos de las aplicaciones móviles que utilizan navegadores integrados en la aplicación. Algunas aplicaciones, como Instagram y Facebook, inyectan código JavaScript en sitios web de terceros que generan riesgos potenciales de seguridad y privacidad para el usuario.

Ahora presenta la aplicación InAppBrowser.com, una herramienta simple para enumerar los comandos de JavaScript ejecutados por la aplicación iOS que representa la página. InAppBrowser.com está diseñado para que todos verifiquen por sí mismos qué hacen las aplicaciones dentro de sus navegadores en la aplicación. El código fuente utilizado para este análisis es abierto y puede descargarse desde GitHub. Esto permite que la comunidad actualice y mejore este script con el tiempo.

Para probar esta herramienta, simplemente se debe abrir la aplicación que se quiera analizar y compartir la URL https://inappbrowser.com en algún lugar dentro de la aplicación (por ejemplo, enviar un DM a un amigo o publicarlo en un feed).

Al usar esta herramienta para analizar las aplicaciones de iOS más populares que tienen su propio navegador en la aplicación, estos ons los resultados que ha encontrado.

Para este análisis, se ha excluido todos los navegadores iOS de terceros (Chrome, Brave, etc.), ya que utilizan JavaScript para ofrecer algunas de sus funciones, como un administrador de contraseñas. Apple requiere que todas las aplicaciones de navegadores iOS de terceros utilicen el motor de renderizado Safari WebKit.

Importante: el hecho de que una aplicación inyecte JavaScript en sitios web externos no significa que la aplicación esté haciendo algo malicioso. No hay forma de que sepamos los detalles completos sobre qué tipo de datos recopila cada navegador en la aplicación, o cómo o si los datos se transfieren o utilizan. Esta publicación indica los comandos de JavaScript que ejecuta cada aplicación, además de describir el efecto que podría tener cada uno de esos comandos. Para obtener más información sobre los riesgos de los navegadores integrados en aplicaciones, consulte esta publicación.

TikTok monitorea todas las entradas y toques del teclado

Cuando abre cualquier enlace en la aplicación TikTok iOS, se abre dentro de su navegador en la aplicación. Mientras interactúa con el sitio web, TikTok se suscribe a todas las entradas del teclado (incluidas las contraseñas, la información de la tarjeta de crédito, etc.) y cada toque en la pantalla, como los botones y enlaces en los que hace clic.

Instagram hace más que simplemente insertar pcm.js

La publicación de la semana pasada hablaba sobre cómo Meta inyecta el script pcm.js en sitios web de terceros. Meta afirmó que solo inyectan el script para respetar la elección de ATT del usuario y "características de seguridad y de usuario" adicionales.

Instagram iOS se suscribe a cada toque en cualquier botón, enlace, imagen u otro componente en sitios web externos representados dentro de la aplicación de Instagram.  Instagram iOS se suscribe cada vez que el usuario selecciona un elemento de la interfaz de usuario (como un campo de texto) en sitios web de terceros representados dentro de la aplicación de Instagram.

Fuente: KrauseFX

Suscríbete a nuestro Boletín