Nu mai folosiți browserele in-app: nu doar că sunt proaste, dar pot monitoriza și ce tastați în ele

Un articol recent atrage atenția asupra riscului de securitate al browserelor in-app. Un browser in-app este acel browser propriu deschis de o aplicație de telefon atunci când apeși pe un link. Facebook face asta, îți deschide un browser “al lor”. Gmail, Instagram, TikTok și multe aplicații fac lucruri similare.

Riscul de securitate este că acel browser ar putea rula cod JavaScript ascuns care interceptează tot ce faci tu în el, inclusiv parolele folosite pentru a te loga pe un site sau datele cardului de credit. It’s bad. Rețineți accentul pe “ar putea rula”. Din ce am înțeles eu, până acum nu s-au furat date în acest mod, ci se vorbește doar despre această posibilitate.

Un semn mare de întrebare este însă legat de TikTok, care îți monitorizează în acel browser toate apăsările de taste, toate tap-urile pe ecran și elementele pe care faci click. Este ca un keylogger în toată puterea cuvântului, zice omul care a atras atenția asupra problemei. ALERTĂ PLANETARĂ!

TikTok, în replică, se jură că de fapt nu face asta, iar codul care ar putea reține tot ce accesezi și fiecare tastă apăsată în browserul lor este folosit doar pentru debugging. Pe de altă parte, TikTok este o aplicație chinezească, codul sursă nu este public pentru a le putea verifica afirmațiile și nici nu știi ce date colectează, că sunt în China.

Lăsați la o parte TikTok și rețineți concluzia aceasta: toate browserele in-app sunt enervante și nu ar trebui folosite. Pe mine mă enervau maxim din alte motive: întrucât se deschid ca instanțe unice, apari ca nelogat inclusiv pe site-urile pe care te trimit ele, este complicat să te loghezi, nu folosesc cookie-uri ca să-ți rețină niște setări legate de acele site-uri șamd.

În particular pentru mine, mă enerva și că site-urile vizitate în acest mod nu se salvau în history-ul de Chrome, ca să le regăsesc după o vreme, și nu exista nici posibilitatea de a le salva în bookmarks sau de a face share simplu către o altă aplicație. Eu le uram de mic, înainte de a afla de posibile probleme de securitate.

Ce zice însă problema de acum: nu vă introduceți parole și alte date personale în browsere in-app pentru a vă loga pe vreun alt site cu ele sau pentru a cumpăra ceva. Este un risc în plus.

De exemplu, eu am încredere în Chrome, îmi știe parolele și cardurile bancare. Acele browsere in-app, însă, nu știu pe ce sunt bazate și nici cum au fost modificate de dezvoltatorul aplicației, dovadă că aplicațiile pot încărca și cod suplimentar JS pe lângă ele. Primul lucru pe care-l fac atunci când se deschide o astfel de fereastră este să caut opțiunea de “open in external browser“, ca să îmi deschidă linkul respectiv în browserul meu default.

În particular pentru TikTok, aplicația nu are opțiune de “open in external browser”. Nu observasem asta, nu sunt mare utilizator de TikTok. Rușinică lor.

Dar serios, nu mai folosiți browsere in-app. Moda lor a pornit de la Facebook, care voia să vadă ce accesați și să o faceți de fapt în interiorul rețelei sociale, ca să nu fie utilizatorii tentați să uite de ea intrând pe un site și de acolo pe altul șamd. Un mare buton de Back era mereu pe ecran pentru a închide browserul și a reveni în Facebook. Moda a fost preluată rapid de toate aplicațiile mari.

Până acum problema era mai degrabă una de confort, acele browsere nu aveau toate opțiunile celui default al vostru, plus că mai ocupau și o zonă din ecran cu meniurile lor suplimentare. Dacă mai apare și acest risc de tracking, ocoliți-le și gata. Nu introduceți parole și carduri în ele, nu faceți cumpărături din ele, ci căutați opțiunea de “open in default browser” sau deschideți manual browserul vostru și accesați manual pagina dorită.

via GIPHY

More info: articolul inițial, încă o revenire pe subiect, via The Verge.