分析工具顯示Tiktok、IG App內(nèi)置的瀏覽器會搜集用戶資料

一家安全企業(yè)提供的工具發(fā)現(xiàn)，數(shù)個知名iOS App，包括Tiktok、Instagram（IG）、Facebook等內(nèi)置的瀏覽器會悄悄搜集用戶資料。不過Tiktok和Meta皆否認有不當搜集的行為。

前Google工程師暨fastlane.tools網(wǎng)站創(chuàng)辦人Felix Krause提供的一項工具InAppBrowser.com，宣稱可以偵測出iOS App內(nèi)置用以打開網(wǎng)頁的JavaScript指令。這項工具已分享在GitHub上。

Krause并以這項工具分享了數(shù)款內(nèi)置自有瀏覽器的熱門iOS App，包括Tiktok、IG、Facebook、FB Messenger、Amazon、Snapchat、以及購買加密貨幣或股票交易的Robinhood。這項分析剔除了App使用的第三方iOS瀏覽器，包括Chrome、Brave，因為它們使用JavaScript可能用于其他目的，像是作為密碼管理。蘋果要求所有第三方iOS App都必須使用Safari渲染引擎WebKit。

Krause的分析想要了解自有瀏覽器的App是否提供按鈕以用戶默認瀏覽器打開連接；是否會注入JavaScript到第三方網(wǎng)站以修改內(nèi)容，包括注入關注程序代碼、注入外部JavaScript文件及創(chuàng)建新的HTML元素；是否會執(zhí)行JavaScript以抓取網(wǎng)站metadata（雖然這行為不會引起任何安全或隱私風險）；以及連到JavaScript程序代碼的連接。

根據(jù)他的分析，除了Tiktok之外，所有App都允許用戶以默認瀏覽器打開連接。但是IG、FB Messenger、Facebook卻加入Tiktok的行列，會悄悄修改網(wǎng)頁內(nèi)容、抓取網(wǎng)站資料，也有一個連接連到外部JavaScript。Amazon比起前述4者只少了修改網(wǎng)頁內(nèi)容的行為。只有Snapchat和Robinhood App是一項可疑行為也沒有的。

這工具沒有偵測到注入JavaScript的行為。但他表示這不代表沒有任何程序代碼注入的行為，因為從iOS 14.3開始，蘋果推出讓JavaScript程序代碼在“隔離區(qū)”執(zhí)行的新方法，因此網(wǎng)站無法驗證究竟執(zhí)行了什么程序代碼。不過作者表示，以iOS Safari打開網(wǎng)頁，或是以SFSafariViewController展開網(wǎng)頁，就可以安心不會被注入JavaScript。

用戶也可以用這工具測試其他iOS App。方法是打開想測試的App。然后在App可以貼連接的地方（如私信或貼文處）粘貼https:InAppBrowser.com，再以App點擊連接打開網(wǎng)頁，即可看到分析報告。但作者也說，這個工具無法偵測所有執(zhí)行的JavaScript指令，也無法顯示App利用原生程序代碼的關注行為（像是定制手勢識別）。

針對本工具的發(fā)現(xiàn)，《The Verge》引述Tiktok反駁這項工具的指控，表示其結論是不正確且誤導；他們并不會通過JavaScript程序代碼搜集用戶鍵擊或文本輸入，只是用于調(diào)試、問題排除或監(jiān)控性能。Meta也回應，其關注Script都是經(jīng)過Facebook或IG用戶同意的，而且只用于發(fā)送廣告或“測量用途”。