セキュリティ

アプリでリンクを踏んだ時に自分が追跡されているかどうかをチェックできる「InAppBrowser.com」


FacebookやInstagramのiOSアプリに組み込まれているブラウザで、ユーザーの情報が読み取られている問題を突き止めた元Googleのエンジニアが、使用中のアプリに同様のリスクがあるかどうかを簡単に調べられる「InAppBrowser.com」を公開しています。

inAppBrowser.com
https://inappbrowser.com/

iOS Privacy: Announcing InAppBrowser.com - see what JavaScript commands get injected through an in-app browser · Felix Krause
https://krausefx.com/blog/announcing-inappbrowsercom-see-what-javascript-commands-get-executed-in-an-in-app-browser

元Googleのプライバシー研究者のフェリックス・クラウス氏は2022年8月10日に、Metaが提供するアプリのブラウザが外部サイトにJavaScriptのコードを仕込んでユーザーが入力した内容などを監視していたことを明らかにしました。この問題についての詳細は、以下の記事で詳しく解説されています。

「FacebookやInstagramアプリはリンクをタップしたユーザーを詳細に追跡している」ことが元Googleエンジニアの調査により明らかに - GIGAZINE


この問題が大きな反響を呼び、さまざまなコミュニティで話題になったことを目の当たりにしたクラウス氏は、多くの人が「使っているアプリの挙動を確認したい」と感じていることに気がつきました。

そこで、クラウス氏はアプリ内ブラウザがJavaScriptインジェクションをしているかどうかをチェックするサイトである「InAppBrowser.com」を作成しました。クラウス氏はInAppBrowser.comをオープンソース化しGitHubで公開しているので、誰でもInAppBrowser.comのコードを確認することができます。

チェックの方法は簡単で、確認したいアプリでInAppBrowser.comにアクセスすればOK。例えば、SNSの場合はInAppBrowser.comを含めた投稿やDMからアクセスできます。


試しにFacebookアプリをチェックしてみたのが以下。予想通り、JavaScriptインジェクションが検出されてしまいました。


Twitterでも試してみました。


その結果が以下。TwitterではJavaScriptインジェクションが検出されませんでした。


クラウス氏の調査でもFacebookで問題が検出されているほか、TikTokには「デフォルトのブラウザで開くオプション(Option to open in default browser)」すらありませんでした。また、Instagram・Facebook Messenger・Amazonのアプリでもページの変更(Modify page)やメタデータの取得(Fetch metadata)が確認されています。ただし、メタデータを取得されただけなら無害で、セキュリティやプライバシー上の懸念はないそうです。一方、写真共有アプリのSnapchatや投資アプリのRobinhoodでは問題は見つかりませんでした。


特筆すべきはTikTokで、クラウス氏によるとiOS版TikTokアプリでなんらかのリンクを開くと、そのリンクは必ずアプリ内ブラウザで開かれるとのこと。そして、TikTokは表示されたサイトで行われたあらゆるタップ操作や、パスワードやクレジットカード情報を含むあらゆる入力を監視しているそうです。

こうした挙動についてクラウス氏は、「TikTokがデータを何に使うのかは知りませんが、技術的な観点から言えば、TikTokはサードパーティーのウェブサイトにキーロガーを仕込んでいるも同然です」と述べました。

一方、以下のアプリはAppleがアプリ開発者に推奨しているSafariまたはSFSafariViewControllerの使用を順守しており、JavaScriptのコードを混入させることはできないようになっていました。


クラウス氏は自己防衛の方法として、「ほとんどのアプリ内ブラウザは、表示しているサイトをSafariで開く機能を備えているので、アプリ内ブラウザが開いたらすぐに『ブラウザで開く』機能を使ってより安全なブラウジングに切り替えてください。そのボタンがない場合は、URLをコピーして任意のブラウザで開く必要があります。それすらできない場合は、少しコツが要りますが、リンクを長押ししてからコピーする機能を使うことも可能です」とアドバイスしました。

この記事のタイトルとURLをコピーする

・関連記事
ウェブアプリに対する典型的な攻撃手法とその対策まとめ - GIGAZINE

Appleによる「ブラウザ開発者へのWebKit強制」はセキュリティリスクを悪化させているという指摘 - GIGAZINE

アプリのトラッキングを制限するAppleのプライバシー強化で中小企業が大打撃を受けている - GIGAZINE

・関連コンテンツ

in レビュー,   ソフトウェア,   セキュリティ, Posted by log1l_ks

You can read the machine translated English article here.