Một công cụ online có khả năng tiết lộ liệu người dùng iOS có bị trình duyệt trong ứng dụng (in-app browser) theo dõi hoạt động hay không.
Website này được phát hành bởi Felix Krause, nhà nghiên cứu bảo mật tại Fastlane, giúp kiểm tra trình duyệt bên trong Instagram, Facebook hoặc TikTok có khả năng theo dõi người dùng hay không.
Cụ thể, trang web InAppBrowser.com chỉ ra cách thức những ứng dụng bên thứ 3 như chèn JavaScript để thu thập các thông tin nhạy cảm như địa chỉ, mật khẩu, thẻ ngân hàng… mà người dùng không hề hay biết.
Người dùng chỉ cần mở ứng dụng cần kiểm tra, đăng đường link InAppBrowser.com vào bất cứ đâu như chia sẻ cho bạn bè hay bình luận dưới bài viết. Sau đó, nhấn vào đường dẫn đã chia sẻ là người dùng đã có thể kiểm tra đầy đủ thông tin về những đoạn mã của ứng dụng.
Nhấn vào đường link InAppBrowser.com, người dùng có thể kiểm tra tất cả đoạn mã được cài trong trình duyệt
Theo The Verge, công cụ của Krause hoàn toàn có căn cứ. Chuyên gia nói rằng InAppBrowser.com không thể nhận diện đầy đủ mã JavaScript trong ứng dụng, đồng thời không phải tất cả đoạn mã đều nguy hiểm. Nhưng đây vẫn là một công cụ hữu ích, giúp người dùng cảnh giác, bảo vệ dữ liệu của mình trước các ứng dụng bên thứ ba.
Krause cho biết anh phát triển InAppBrowser.com dưới dạng mã nguồn mở.
“InAppBrowser.com được thiết kế nhằm giúp người dùng tự kiểm tra những hành vi của các ứng dụng trong trình duyệt của họ. Vì thế, tôi đã công khai mã nguồn và đăng tải trên GitHub. Điều này giúp cộng đồng quan tâm có thể cập nhật và cải thiện trang web này dần theo thời gian”, Krause chia sẻ.
Trước đó, Felix Krause đã thử nghiệm khả năng theo dõi người dùng trên 7 ứng dụng khác nhau, bao gồm TikTok, Facebook, Messenger, Instagram, Snapchat, Amazon và Robinhood. Tất cả được cài trên iPhone.
Kết quả, TikTok, Instagram và Facebook chứa đoạn mã có thể theo dõi thao tác chạm hoặc bôi đen văn bản, riêng TikTok còn có khả năng thu thập dữ liệu gõ phím.
Krause cho rằng để bảo vệ bản thân trước nguy cơ lộ dữ liệu, mỗi khi mở đường dẫn trên bất cứ ứng dụng nào, người dùng nên kiểm tra xem có thể mở bằng trình duyệt mặc định hay không.
Nguyên nhân là khi người dùng nhấn vào quảng cáo, liên kết trong bài viết hay hồ sơ tài khoản, các app bên thứ 3 như TikTok, Facebook sẽ truy cập trang web bằng trình duyệt tích hợp thay vì chuyển sang Chrome hay Safari.
“Về mặt kỹ thuật, điều đó tương đương việc cài cắm keylogger (phần mềm theo dõi gõ phím) lên website bên thứ ba", Krause nói.
Phản hồi về thông tin này, TikTok mạnh mẽ phủ nhận cáo buộc sử dụng trình duyệt tích hợp để theo dõi người dùng. Công ty xác nhận tính năng theo dõi tồn tại trong mã nhưng không sử dụng.
“Kết luận này hoàn toàn sai sự thật. Chúng tôi không sử dụng đoạn mã này để theo dõi thao tác trên màn hình hay ký tự gõ phím của người dùng”, đại diện TikTok khẳng định.
Mật khẩu, địa chỉ, tài khoản ngân hàng... là những thông tin có thể bị thu thập trái phép.
Theo The Verge, trình duyệt trong ứng dụng sẽ được kích hoạt khi người dùng nhấn vào đường link trong app. Với những ứng dụng lập trình dựa trên WebKit của Safari trên iOS, nhà phát triển có thể dùng mã JavaScript của riêng mình hòng theo dõi hành vi người dùng mà không có sự cho phép của họ.
Các ứng dụng này sẽ cài mã JavaScript vào các website, nắm rõ quy trình duyệt web của người dùng. Những thông tin bị thu thập trái phép bao gồm các thao tác nhấn, dữ liệu gõ phím, ảnh chụp màn hình…
Tuy nhiên, Alisha Swinteck, phát ngôn viên Meta khẳng định những đoạn mã theo dõi này chỉ hoạt động khi người dùng cho phép. Chúng được gắn vào Facebook và Instagram để tối ưu hóa quảng cáo và phân tích, đánh giá dữ liệu.
“Chúng tôi đã thiết kế cẩn thận các trải nghiệm nhằm tôn trọng quyền riêng tư của người dùng, kể cả cách sử dụng dữ liệu để quảng cáo", Swinteck cho biết. Với những thanh toán thực hiện trên ứng dụng trong trình duyệt, công ty mạng xã hội cũng hỏi ý người dùng trước khi lưu thông tin thanh toán.
Theo Zing