Asi už jste sami přišli na to, že když na sociálních sítích kliknete na odkaz, webová stránka se neotevírá v defaultním webovém prohlížeči. Místo toho aplikace Instagram, Messenger, Facebook, Snapchat či TikTok využívají svůj vlastní webový prohlížeč, jenže to s sebou nese velké bezpečnostní riziko. Tyto prohlížeče mohou zachytávat tapnutí na displej, klávesy, které jste stisknuli, či do stránek vkládat své vlastní kódy v JavaScriptu!
Možná to už děláte sami od sebe, pokud si otevřete v aplikaci sociální sítě webový odkaz, většinou můžete v doplňkové nabídce najít volbu pro otevření stránky v defaultním prohlížeči. Drtivá většina Androidů a iPhonů má totiž nastavené otevírání odkazů ve vybraném webovém prohlížeči, aplikace sociálních sítí se tím však neřídí. A to je mnohdy podezřelé. Analytici z webu Krausefx přišli na to, že ne vždy má aplikace se svým vlastním prohlížečem dobré úmysly...
Jak si na tom stojí sociální sítě a jejich vestavěné prohlížeče? Ne příliš slavně, TikTok je na tom suverénně nejhůře (Zdroj: Krausefx)
Na vlastní webový prohlížeč se na iOS spoléhá i aplikace TikTok. Analytici však zjistili, že tento in-app prohlížeč dokáže zaznamenat veškerý vstup z klávesnice (např. zadaná hesla, detaily platební karty, apod.). A přesně to je známá specifikace tzv. „key-loggeru“. TikTok také ví o tom, kam přesně jste kliknuli prstem, např. na odkaz, obrázek nebo jinou komponentu v rámci webové stránky. TikTok potvrdil, že jeho prohlížeč skutečně veškeré údaje může zaznamenávat, ovšem firma tyto záznamy údajně nikde nepoužívá. Pokud ano, tak jen pro účely ladění a monitoring rychlosti načítání stránek.
Vše se zaznamenává...
Jenže, všechny ostatní sítě vám umožňují z kontextové nabídky odkaz otevřít v defaultním prohlížeči. TikTok jako jediný vám tuto možnost nedá. Nebo pokud ano, neplatí to u všech odkazů. Je to jen náhoda nebo za tím skutečně můžeme vidět snahu o co nejvýraznější monitoring uživatelů, který jde mnohdy až „přes čáru“?
Instagram na iOS ve svém interním prohlížeči zaznamenává všechny dotyky na tlačítka, odkazy, obrázky a další komponenty. Záznam probíhá kdykoliv, jakmile uživatel klikne prakticky na jakýkoliv element uživatelského rozhraní. Není přitom jasné, co se se získanými daty děje dále. Společně s TikTokem a Instagramem vkládá svůj kód do vlastního in-app webového prohlížeče Messenger i Facebook.
Meta uvedla, že své JavaScripty používá s ohledem na „soukromí“ uživatelů, a že využívání prohlížeče mohou uživatelé odmítnout. Vždy se však můžete z prohlížeče doklikat k otevření stránky v defaultním systémovém prohlížeči, např. v Safari nebo Chromu.
Jak se bránit?
To, že nám vývojáři aplikací pro sociální sítě postrkují vlastní prohlížeče, vypadá na první pohled trochu podezřele. Naštěstí se ve většině případů můžete účinně bránit. Většina in-app prohlížečů umožňuje otevření odkazu v defaultním prohlížeči. Pokud tato možnost chybí, vždy můžete vykopírovat URL, otevřít svůj bezpečný prohlížeč, a do něj adresu URL vložit. Je to sice několik kroků navíc, ale můžete počítat s tím, že vaše data nebudou nikde zaznamenána.
A pokud už zůstanete v prohlížeči dané aplikace, rozhodně se přes něj nepřihlašujte k účtům ani přes něj neprovádějte žádné nákupy přes svou platební kartu. Tyto prohlížeče totiž mohou být sledovány a potenciálně zneužity k nekalým účelům.
Zdroj Krausefx, Techcrunch
