28 de noviembre de 2022

Ojo al utilizar Instagram y TikTok porque mediante su navegador interno pueden espiarte lo que hacemos en cualquier web

Felix Krause, un investigador, ha descubierto que aplicaciones como Instagram, Facebook o TikTok pueden potencialmente rastrear cualquier cosa que hagamos en una página web que estemos viendo en los navegadores integrados en sus aplicaciones móviles. Aunque Google y Apple están haciendo mucho por limitar el seguimiento que una aplicación o web puede hacer de nosotros en cuanto al uso de cookies o de identificadores, la realidad es que técnicamente hay partes que escapan de su control.

Y estas aplicaciones se aprovechan de algo que manejan en los sistemas operativos móviles: los navegadores integrados. A diferencia de aplicaciones como WhatsApp, Twitch, Spotify o Slack, que por defecto abren Chrome o Safari, los navegadores del sistema, TikTok o Instagram usan un navegador propio. Y es con ellos donde pueden elegir no alterar las webs que visitamos a través de ellos, o bien modificar su funcionamiento y/o apariencia con inyección de JavaScript. Veamos qué supone.

-Saber cada paso que das en una web (y potencialmente recopilarlo)

Si te preocupa qué puede hacer cada navegador integrado al visitar una web, Krause ha creado InAppBrowser.com, una web de código abierto con la que podemos explorar si las aplicaciones inyectan código JavaScript, y qué son capaces de detectar en nuestra pantalla. Es la web que hemos utilizado para las capturas.

Según Krause, cuando abrimos un enlace que por ejemplo nos envían por mensaje directo en Instagram, o cuando pinchamos en un anuncio que nos interesa, su navegador ejecuta la mencionada inyección de JavaScript.

Al principio, Krause decía que el código no hacía cosas como hacer seguimiento de enlaces que pulsábamos, etc, pero después menciona que tras mejorar la detección de JavaScript, ha encontrado que es capaz de detectar cada toque en un enlace, imagen y otros componentes, así como la selección de un campo de texto, etc.

El investigador también recuerda «El hecho de que una aplicación inyecte JavaScript en sitios web externos no significa que la aplicación esté haciendo algo malicioso». El problema es que no podemos saberlo. Lo que sí podemos saber es que a través de Safari, Chrome o de las extensiones que se puede utilizar de estos navegadores para tener una apariencia de navegador integrado, estos problemas no existen.

Según Meta contó a Krause, reconocen estar ejecutando código. Sin embargo, argumentan que el código JavaScript que están inyectando (pcm.js) lo usan para respetar las decisiones de los usuarios en torno a App Tracking Transparency, la política que Apple tiene desde iOS 14.5 para impedir que las aplicaciones nos rastreen.

En el caso de TikTok, Krause ha detectado que la red social puede, a través de su navegador integrado, ver cada introducción de texto que ocurre en una página web abierta con él. También puede ver cada botón, enlace o imagen que se toca en pantalla, y cuenta con una función para detectar detalles sobre los elementos que se han tocado.

Como en el caso de Instagram, no podemos saber si TikTok realmente obtiene la información potencial que podría conseguir con dichas herramientas, y si en el caso de hacerlo aplican tratamiento sobre ellas. Lo que sabemos es que tienen posibilidad de hacerlo por no utilizar el navegador por defecto e introducir modificaciones. Según el medio Forbes, la compañía reconoce que las funciones existen y que inyectan código, a la vez que afirman que no las usan. Según declaró la portavoz, Maureen Shanahan:

«Al igual que otras plataformas, usamos un navegador integrado la aplicación para brindar una experiencia de usuario óptima, pero el código JavaScript en cuestión se usa solo para depurar, solucionar problemas y supervisar el rendimiento de esa experiencia, como verificar cómo de rápido carga una página o si falla».

Un portavoz de Meta ha aportado lo siguiente:

«Los navegadores web internos son comunes en toda la industria. En Meta, usamos navegadores dentro de la aplicación para habilitar experiencias seguras, cómodas y confiables, como asegurarnos de que el autocompletado se complete correctamente o evitar que las personas sean redirigidas a sitios maliciosos. Agregar cualquiera de estos tipos de funciones requiere código adicional. Hemos diseñado cuidadosamente estas experiencias para respetar las opciones de privacidad de los usuarios, incluida la forma en que se pueden usar los datos para los anuncios».

Y esto es lo que nos ha comunicado un portavoz de TikTok:

Las conclusiones del informe sobre TikTok son incorrectas y engañosas. El investigador indica específicamente que el código JavaScript no significa que nuestra aplicación esté haciendo algo malintencionado, y admite que no tiene forma de saber qué tipo de datos recoge nuestro navegador interno. Al contrario de lo que afirma el informe, no recopilamos combinaciones de teclas o entradas de texto a través de este código, que se utiliza únicamente para la depuración y solución de problemas y el análisis del rendimiento

-¿Qué podemos hacer los usuarios?

Ante la posibilidad de que lo que hacemos sea registrado, quien realmente se preocupe de su privacidad (o al menos quiera protegerla lo máximo posible), lo que puede hacer es abrir los enlaces fuera de los navegadores internos.

Es decir, cuando exista un botón de «Abrir en Safari» o «Abrir en Chrome», lo ideal es usar ese botón, sobre todo vi el contenido que vamos a ver es más sensible para nosotros de la cuenta. Si no existe dicha posibilidad, lo ideal es copiar el enlace, y abrirlo manualmente fuera. Algunas aplicaciones nos dejan elegir con qué navegador abrir los enlaces desde su aplicación, pero son pocas.

El problema es que, por ejemplo, TikTok ni siquiera permite la opción de «Abrir en Safari», con lo que los usuarios tenemos algo menos de libertad de actuación.