分析工具顯示Tiktok、IG App內(nèi)置的瀏覽器會(huì)搜集用戶資料

一家安全企業(yè)提供的工具發(fā)現(xiàn)，數(shù)個(gè)知名iOS App，包括Tiktok、Instagram（IG）、Facebook等內(nèi)置的瀏覽器會(huì)悄悄搜集用戶資料。不過(guò)Tiktok和Meta皆否認(rèn)有不當(dāng)搜集的行為。

前Google工程師暨fastlane.tools網(wǎng)站創(chuàng)辦人Felix Krause提供的一項(xiàng)工具InAppBrowser.com，宣稱可以偵測(cè)出iOS App內(nèi)置用以打開(kāi)網(wǎng)頁(yè)的JavaScript指令。這項(xiàng)工具已分享在GitHub上。

Krause并以這項(xiàng)工具分享了數(shù)款內(nèi)置自有瀏覽器的熱門iOS App，包括Tiktok、IG、Facebook、FB Messenger、Amazon、Snapchat、以及購(gòu)買加密貨幣或股票交易的Robinhood。這項(xiàng)分析剔除了App使用的第三方iOS瀏覽器，包括Chrome、Brave，因?yàn)樗鼈兪褂肑avaScript可能用于其他目的，像是作為密碼管理。蘋果要求所有第三方iOS App都必須使用Safari渲染引擎WebKit。

Krause的分析想要了解自有瀏覽器的App是否提供按鈕以用戶默認(rèn)瀏覽器打開(kāi)連接；是否會(huì)注入JavaScript到第三方網(wǎng)站以修改內(nèi)容，包括注入關(guān)注程序代碼、注入外部JavaScript文件及創(chuàng)建新的HTML元素；是否會(huì)執(zhí)行JavaScript以抓取網(wǎng)站metadata（雖然這行為不會(huì)引起任何安全或隱私風(fēng)險(xiǎn)）；以及連到JavaScript程序代碼的連接。

根據(jù)他的分析，除了Tiktok之外，所有App都允許用戶以默認(rèn)瀏覽器打開(kāi)連接。但是IG、FB Messenger、Facebook卻加入Tiktok的行列，會(huì)悄悄修改網(wǎng)頁(yè)內(nèi)容、抓取網(wǎng)站資料，也有一個(gè)連接連到外部JavaScript。Amazon比起前述4者只少了修改網(wǎng)頁(yè)內(nèi)容的行為。只有Snapchat和Robinhood App是一項(xiàng)可疑行為也沒(méi)有的。

這工具沒(méi)有偵測(cè)到注入JavaScript的行為。但他表示這不代表沒(méi)有任何程序代碼注入的行為，因?yàn)閺膇OS 14.3開(kāi)始，蘋果推出讓JavaScript程序代碼在“隔離區(qū)”執(zhí)行的新方法，因此網(wǎng)站無(wú)法驗(yàn)證究竟執(zhí)行了什么程序代碼。不過(guò)作者表示，以iOS Safari打開(kāi)網(wǎng)頁(yè)，或是以SFSafariViewController展開(kāi)網(wǎng)頁(yè)，就可以安心不會(huì)被注入JavaScript。

用戶也可以用這工具測(cè)試其他iOS App。方法是打開(kāi)想測(cè)試的App。然后在App可以貼連接的地方（如私信或貼文處）粘貼https:InAppBrowser.com，再以App點(diǎn)擊連接打開(kāi)網(wǎng)頁(yè)，即可看到分析報(bào)告。但作者也說(shuō)，這個(gè)工具無(wú)法偵測(cè)所有執(zhí)行的JavaScript指令，也無(wú)法顯示App利用原生程序代碼的關(guān)注行為（像是定制手勢(shì)識(shí)別）。

針對(duì)本工具的發(fā)現(xiàn)，《The Verge》引述Tiktok反駁這項(xiàng)工具的指控，表示其結(jié)論是不正確且誤導(dǎo)；他們并不會(huì)通過(guò)JavaScript程序代碼搜集用戶鍵擊或文本輸入，只是用于調(diào)試、問(wèn)題排除或監(jiān)控性能。Meta也回應(yīng)，其關(guān)注Script都是經(jīng)過(guò)Facebook或IG用戶同意的，而且只用于發(fā)送廣告或“測(cè)量用途”。