「TikTokは事実上のキーロガー」と専門家、知らないうちにユーザーを侵害する「アプリ内ブラウザ」の脅威とは？

開かれたインターネットを目指すソフトウェアエンジニアらによって組織された非営利団体・Open Web Advocacy(OWA)が、ユーザーの目が届かない場所でセキュリティやプライバシーを大きなリスクにさらすアプリ内ブラウザについて提言しました。

In-App Browsers: The worst erosion of user choice you haven't heard of - Open Web Advocacy
https://open-web-advocacy.org/blog/in-app-browsers-the-worst-erosion-of-user-choice-you-havent-heard-of/

以下のムービーでは、OWAが危惧しているアプリ内ブラウザの問題点がアニメーションでわかりやすく解説されています。

Open Web Advocacy - In-App Browser Primer - YouTube

インターネットの利用法として最も一般的なのが、ブラウザです。ブラウザを使うと、プライバシーやセキュリティの設定、ログインパスワードや決済のための支払い情報の保存などを細かくコントロールすることができます。

ユーザーには、自分の大切な個人情報をどのブラウザに委ねるのか決める選択権があります。

ユーザーが信頼できるブラウザを決めると、そのブラウザが「デフォルトのブラウザ」となります。

一方、スマートフォンからインターネットにアクセスする方法は、大きく分けて2つあります。1つ目は、普通にブラウザを使用する方法です。

2つ目は、何らかのアプリの使用中にリンクをタップした際、自分が選んだブラウザではなくアプリの中でリンク先が開くような場合です。これが、OWAが問題視してる「アプリ内ブラウザ」です。

どちらも大して変わらないよう思う人もいるかもしれませんが、このアプリ内ブラウザはユーザー自らが選んだデフォルトブラウザでの閲覧を、そのブラウザのセキュリティ機能やプライバシー設定とともに阻んでしまいます。

そのため、OWAはこうしたユーザーの選択の無視を「ブラウザジャック(Browserjacking)」と呼んでいます。

デフォルトのブラウザがアプリ内ブラウザとして使われる「Remote Tab」という技術もありますが、一般的なタイプのアプリ内ブラウザである「WebView」などは、ユーザーが選んだわけでも制御できるわけでもない、アプリ独自のブラウザです。

一部のアプリがデフォルトブラウザを使いたがらないのは、アプリ内ブラウザを使えばユーザーの閲覧履歴をのぞき見したり、アプリ内ブラウザから離れようとしたユーザーを元のアプリに戻したりと、ユーザーを好き勝手にコントロールできるからです。

こうした行為は、使い勝手の悪いブラウザの使用を強要されるユーザーにとっても、サポートしているわけでもないバグだらけのブラウザで自社のサイトを利用される企業にとっても有害です。

OWAによると、Metaが提供しているFacebook、Instagram、Messengerなどの人気アプリはすべて、アプリ内ブラウザを経由したJavaScriptインジェクションでユーザーのプライバシーを侵害していることが発覚しているとのこと。

TikTokのアプリ内ブラウザに至っては、ユーザーの入力や操作をすべて監視していたことから、OWAは「TikTokは事実上のキーロガーを実行しています」と非難しました。

こうした人気アプリでの問題は、OWAの協力者のひとりである元Googleエンジニアのフェリックス・クラウス氏が作成したチェック用サイトを取り上げた以下の記事で詳しく解説されています。

アプリでリンクを踏んだ時に自分が追跡されているかどうかをチェックできる「InAppBrowser.com」 - GIGAZINE

アプリ内ブラウザの弊害に対する解決策として、OWAはユーザーによるデフォルトブラウザの選択を尊重するよう大手IT企業らに訴えています。具体的には、非ブラウザアプリに対するデフォルトブラウザの使用の義務化や、アプリ内ブラウザをOS側で一括オプトアウトする機能の提供などです。

OWAはまた、法的規制の枠組みについて検討を進めているEUやイギリスの有識者会議にも出席して、アプリ内ブラウザの問題について提言したとのこと。

OWAは「私たちは、この問題が世界的に解決されるまで追及を続けます。ユーザーの選択は、その選択が本当に尊重される場合にのみ、本当に意味があるものになるのです」と述べました。