Một công cụ mới đã tiết lộ chính xác cách thức và chỉ ra cách các ứng dụng như TikTok và Instagram có thể sử dụng JavaScript để xem dữ liệu nhạy cảm của người dùng. Dữ liệu này bao gồm địa chỉ, mật khẩu và thông tin thẻ tín dụng của bạn mà không cần sự đồng ý của bạn.
Công cụ này có thể được tìm thấy tại InAppBrowser.com. Tất cả những gì bạn cần làm là mở ứng dụng bạn muốn kiểm tra và chia sẻ URL InAppBrowser.com.
Đừng lo lắng nếu bạn không quen với thuật ngữ công nghệ, vì nhà phát triển của công cụ, Felix Krause, cung cấp một số “Câu hỏi thường gặp” giải thích chính xác những gì bạn đang thấy.
Cách JavaScript hoạt động
Krause là một nhà nghiên cứu bảo mật và là cựu nhân viên của Google, người đã chia sẻ một báo cáo chi tiết vào đầu tháng 8.2022 về cách các trình duyệt trong các ứng dụng như Facebook, Instagram và TikTok có thể gây ra rủi ro về quyền riêng tư cho người dùng iOS.
Các trình duyệt trong ứng dụng được sử dụng khi bạn nhấn vào một URL trên đó. Mặc dù các trình duyệt này dựa trên WebKit của Safari trên iOS, nhưng các nhà phát triển có thể điều chỉnh chúng để chạy mã JavaScript của riêng họ, cho phép họ theo dõi hoạt động của bạn mà không cần sự đồng ý từ bạn hoặc các trang web của bên thứ ba mà bạn truy cập.
Những thông tin này có thể bao gồm thông tin về mọi nút hoặc liên kết bạn nhấn, các thông tin đưa vào và ảnh chụp màn hình, mặc dù mỗi ứng dụng sẽ khác nhau về thông tin mà ứng dụng thu thập.
Tiktok và Meta phản hồi
Trang Motherboard đưa tin rằng TikTok đã đáp trả lại rằng “Kết luận của báo cáo về TikTok là không chính xác và gây hiểu lầm. Trái ngược với những tuyên bố đó, chúng tôi không thu thập thông tin thông qua mã này, mã này chỉ được sử dụng để gỡ lỗi, khắc phục sự cố và giám sát hiệu suất”.
Đáp lại báo cáo trước đó của Krause, Meta đã biện minh cho việc sử dụng các tập lệnh theo dõi tùy chỉnh này bằng cách tuyên bố rằng người dùng đã đồng ý cho các ứng dụng như Facebook và Instagram theo dõi dữ liệu của họ. Meta cũng tuyên bố rằng dữ liệu được truy xuất chỉ được sử dụng cho quảng cáo hoặc "mục đích đo lường" không xác định.
Người phát ngôn của Meta cho biết: “Chúng tôi cố ý phát triển mã này với mục đích theo dõi người dùng trên nền tảng của chúng tôi. Mã cho phép chúng tôi tổng hợp dữ liệu người dùng trước khi sử dụng nó cho mục đích quảng cáo hoặc đo lường mục tiêu”.
JavaScript có thực sự "độc hại" đối với người dùng?
Krause thừa nhận rằng công cụ của mình không thể phát hiện tất cả các lệnh JavaScript có thể đang hoạt động, đồng thời đề cập rằng JavaScript cũng được sử dụng trong phát triển hợp pháp và vốn dĩ không độc hại.
Ông lưu ý: “Công cụ này không thể phát hiện tất cả các lệnh JavaScript được thực thi, cũng như không hiển thị bất kỳ hoạt động theo dõi nào mà ứng dụng có thể thực hiện bằng cách sử dụng mã gốc”. Tuy nhiên, nó sẽ cảnh báo với người dùng iOS để kiểm tra dấu ấn kỹ thuật số của họ trên các ứng dụng yêu thích của họ.
Krause cũng đã tạo ra công cụ mã nguồn mở, nói rằng, “InAppBrowser.com được thiết kế để mọi người tự xác minh những gì trình duyệt trong ứng dụng của họ đang làm. Điều này cho phép cộng đồng cập nhật và cải thiện tập lệnh này theo thời gian”.
