¿Sabes que algunas apps no abren un navegador externo cuando haces clic en un enlace, sino que abren dicho enlace en su propio navegador dentro de la app?
Esto permite a estas aplicaciones controlar lo que haces. Y entre las aplicaciones más populares que hacen esto, TikTok parece ser de las peores.
El investigador de seguridad Felix Krause anunció el lanzamiento de InAppBrowser, una herramienta que enumera todos los comandos JavaScript ejecutados por una aplicación de iOS cuando su navegador in-app renderiza una página web.
Para demostrar lo que la herramienta puede hacer, Krause analizó algunas aplicaciones populares de iOS que tienen un navegador integrado, y los resultados son sorprendentes.
Aplicaciones como TikTok, Instagram, Facebook Messenger y Facebook modifican las páginas web que se abren en el navegador de la aplicación.
Esto incluye la adición de código de seguimiento (como entradas, selecciones de texto, toques, etc.), la inyección de archivos JavaScript externos, así como la creación de nuevos elementos HTML.
También obtienen metadatos del sitio web, aunque Krause dice que esto es «inofensivo».
Cuando Krause profundizó un poco más en lo que realmente hacen los navegadores in-app de estas aplicaciones, descubrió que TikTok monitoriza de todas las entradas y pulsaciones del teclado de los usuarios.
Así, si abres una página web dentro de la aplicación de TikTok e introduces allí los datos de tu tarjeta de crédito, TikTok puede acceder a todos esos datos. TikTok es también la única app, de todas las que Krause ha investigado, que ni siquiera ofrece una opción para abrir el enlace en …