No es un gran secreto que las empresas tecnológicas como Meta, TikTok y Google vigilan de cerca la mayor parte posible de la actividad de sus usuarios, pero una nueva herramienta de sitio web está exponiendo cuán furtivamente (y espeluznantemente) lo hacen. La semana pasada, el investigador de seguridad y ex empleado de Google, Félix Krause, escribió un artículo explicando cómo las empresas a menudo inyectan un código JavaScript en sitios web de terceros visitados en aplicaciones como Instagram y Facebook para rastrear prácticamente todo lo que haces y haces clic. Siguiendo las respuestas comprensiblemente preocupadas de sus lectores, Krause construido posteriormente
[ Related: “You have the power to protect your data. Own it.“ ]
InAppBrowser de Krause puede mostrarle al menos algunos de estos métodos de seguimiento turbios al abrir el sitio web dentro de una aplicación. Sin embargo, como señala en su publicación, “No hay forma de que sepamos los detalles completos sobre qué tipo de datos recopila cada navegador en la aplicación, o cómo o si los datos se transfieren o utilizan… [InAppBrowser] está indicando los comandos de JavaScript que ejecuta cada aplicación, así como describiendo qué efecto podría tener cada uno de esos comandos”.
Para usar InAppBrowser, todo lo que necesita hacer es copiar la dirección completa de su sitio web (https://inappbrowser.com/) y péguelo como un enlace en el que se puede hacer clic dentro de la aplicación de su elección. En Instagram, por ejemplo, puede hacer una publicación ficticia (como una historia de Instagram creada únicamente con el propósito de alojar el enlace), enviar un mensaje directo con el enlace o pegar el enlace en la biografía de su perfil. Luego simplemente haga clic en el enlace dentro de la aplicación para abrir el navegador en la aplicación y ver los resultados.
ciencia pop probó el sitio dentro de Instagram y recibió el siguiente informe:
Como el borde explica: “Los navegadores integrados en la aplicación se utilizan cuando toca una URL dentro de una aplicación. Si bien estos navegadores se basan en WebKit de Safari en iOS, los desarrolladores pueden ajustarlos para ejecutar su propio código JavaScript, lo que les permite rastrear su actividad sin su consentimiento o el de los sitios web de terceros que visita”. Que, por supuesto, es exactamente lo que sucede. Se puede monitorear todo, desde las pulsaciones de teclas hasta el texto resaltado y los enlaces en los que se hizo clic, potencialmente junto con más información privada como nombres de usuario, contraseñas y números de teléfono. Si bien puede ser impredecible lo que compañías como Meta harían con esa información, Krause señala que los malos actores podrían explotar la brecha de seguridad con sus propias inserciones de JavaScript.
[ Related: “Apple pushes for more in-app ads” ]
Aunque la herramienta InAppBrowser no es exhaustiva, Krause se aseguró de que todo su código fuente estuviera disponible en código abierto en GitHub, un sitio que permite el acceso, el análisis y la mejora de la comunidad en el futuro. Y aunque es poco probable que alguna de las empresas elimine su código JavaScript en el corto plazo, en el futuro es mejor simplemente copiar cualquier enlace que desee visitar y abrirlo en el navegador de su elección.