مراقب مرورگر درون برنامه‌ای اپلیکیشن تیک تاک باشید!

به گفته محقق امنیتی معروف فلیکس کراوس، مرورگر درون برنامه‌ای سفارشی اپلیکیشن تیک تاک در iOS گزارش شده است که کد جاوا اسکریپت را به وب سایت‌های خارجی منتقل می‌کند که به تیک تاک اجازه می‌دهد «همه ورودی‌ها و ضربه‌های صفحه کلید» را در زمانی که کاربر در حال تعامل با یک وب سایت خاص است، نظارت کند. اما طبق گزارش‌ها تیک تاک این موضوع را رد کرده است که این کد به دلایل مخرب استفاده می‌شود.

کراوس گفته که مرورگر درون برنامه تیک تاک در تمام ورودی‌های صفحه کلید، همراه با هر ضربه روی صفحه در حالی که کاربر با یک وب سایت خارجی تعامل دارد، تقریبا در هرگونه اطلاعات از جمله جزئیات حساس مانند رمز عبور، اطلاعات کارت اعتباری و غیره مشترک می‌شود. او در رابطه با کد جاوا اسکریپتی که تیک تاک منتقل می‌کند، نوشته: « از دیدگاه فنی، این معادل نصب کی لاگر در وب سایت‌های شخص ثالث است؛ با این حال این محقق اضافه کرده که فقط به این دلیل که یک برنامه کدهای جاوا اسکریپت را به وب سایت‌های خارجی منتقل می‌کند، نمی‌توان گفت که به این معنی است که قطعا کار مخربی انجام می‌دهد».

سخنگوی تیک تاک در بیانیه‌ای که با مجله فوربس به اشتراک گذاشته، انتقال کد جاوا اسکریپت مورد بحث را تایید کرده، اما گفته که این کد فقط برای اشکال زدایی، عیب یابی و نظارت بر عملکرد برنامه استفاده می‌شود تا از تجربه بهینه کاربر اطمینان حاصل شود. مانند سایر پلتفرم‌ها، ما از یک مرورگر درون برنامه‌ای برای ارائه یک تجربه کاربری بهتر استفاده می‌کنیم، اما کد جاوا اسکریپت مورد بحث فقط برای اشکال زدایی و نظارت بر عملکرد تجربه کاربر، مانند بررسی سرعت بارگیری صفحه یا خرابی استفاده می شود.

کراوس گفته کاربرانی که می‌خواهند از خود در برابر هرگونه استفاده مخرب احتمالی در مرورگرهای درون برنامه‌ای محافظت کنند، باید در صورت امکان به مشاهده پیوند داده شده در مرورگر پیش فرض پلتفرم، مانند سافاری در آیفون و آیپد روی آورند. او گفته: «هرگاه پیوندی را از هر برنامه‌ای باز می‌کنید، ببینید آیا برنامه راهی برای باز کردن وب سایت نشان داده شده در حال حاضر در مرورگر پیش فرض شما ارائه می‌کند یا خیر. بنابراین اگر آن برنامه راهی را برای انجام آن در نظر گرفته بود، نشان دهنده این است که به احتمال زیاد قصد خراب‌کاری ندارد».

به گفته این محقق امنیتی، فیس‌بوک و اینستاگرام هم دو برنامه دیگر هستند که کد جاوا اسکریپت را در وب سایت‌های خارجی بارگذاری شده در مرورگرهای درون برنامه‌ای‌شان وارد می‌کنند و به برنامه‌ها توانایی ردیابی فعالیت کاربر را می‌دهند. سخنگوی متا، شرکت مادر اینستاگرام و فیس‌بوک، در توییتی گفته که این شرکت از روی عمد این کد را برای احترام به انتخاب مردم در ویژگی App Tracking Transparency (که اپل آن را در iOS 14 معرفی کرد) در پلتفرم‌هایش ایجاد کرده است.

کراوس گفته که او ابزار ساده‌ای ایجاد کرده است که به هرکسی اجازه می‌دهد بررسی کند که آیا یک مرورگر درون برنامه‌ای، کد جاوا اسکریپت را هنگام ارائه یک وب سایت منتقل می‌کند یا خیر. این محقق خاطر نشان کرده که کاربران به راحتی تنها باید برنامه‌ای را که می‌خواهند آنالیز کنند باز کنند، آدرس InAppBrowser.com را در جایی در داخل برنامه مثلا در یک پیام به شخصی دیگر به اشتراک بگذارند، روی پیوند داخل برنامه ضربه بزنند تا آن را در داخل برنامه باز کنند.

لازم به ذکر است که تا زمان نوشتن این مطلب، اپل هنوز اظهار نظری در مورد این موضوع نکرده است، اما مانند همیشه اگر اپل عکس‌العملی در این خصوص نشان دهد، بلافاصله آن را در جی اس ام برای شما عزیزان منتشر خواهیم کرد.

آیا شما از استفاده کنندگان از اپلیکیشن تیک تاک هستید؟ اگر جوابتان مثبت است، این مطلب چه تاثیری روی استفاده شما از این برنامه خواهد داشت؟