Links que você abre em apps podem te rastrear; entenda e saiba se proteger
Aplicativos como TikTok, Instagram e Facebook, disponíveis para celulares Android e iPhone (iOS), podem coletar informações confidenciais de usuários. Segundo o pesquisador e desenvolvedor Félix Krause, isso acontece por meio de um código JavaScript que é acionado quando alguém abre um link pelos navegadores internos das plataformas. O mecanismo, que funciona como um keylogger, pode registrar as interações feitas com o site visitado, o que inclui textos digitados e capturas de tela feitas. Assim, dados como números de cartão de crédito e senhas podem ser comprometidos.
1 de 3 Entenda como aplicativos para celulares Android e iPhone (iOS) podem te rastrear e saiba maneiras de se proteger. — Foto: Getty Images
Entenda como aplicativos para celulares Android e iPhone (iOS) podem te rastrear e saiba maneiras de se proteger. — Foto: Getty Images
📝 É possível rastrear um iPhone desligado? Descubra no Fórum do TechTudo
Como e por que os navegadores de apps podem rastrear o que eu faço? Quais informações são coletadas?
Ao abrir um link através de apps como TikTok, Instagram e Facebook, este é carregado no navegador da própria plataforma, e não pelo browser padrão do sistema — Chrome, no Android; e Safari, no iOS. Essa ação pode permitir que um código JavaScript seja usado para monitorar a interação do usuário com a URL aberta, estabelecendo uma "ponte" entre os serviços. Dessa forma, o mecanismo pode rastrear e captar as atividades realizadas na página, como textos digitados, botões selecionados e capturas de tela feitas.
A Meta, empresa responsável pelo Facebook e Instagram, afirma que os dados são recolhidos com o intuito de conhecer o usuário e poder personalizar o algoritmo de modo eficaz, como para direcionar propagandas. Além disso, a companhia reiterou que, ao concordarem com os termos e condições das plataformas, os usuários permitem esse rastreio.
No entanto, não é possível saber exatamente quais as informações coletadas pelo código, o que acende um alerta para a possibilidade de obtenção de informações sensíveis, como endereços, números de cartões e senhas. No caso dos métodos de pagamento, contudo, a Meta explica que os usuários precisam consentir com o salvamento dos dados para possibilitar preenchimentos automáticos.
Riscos envolvidos
Os principais riscos apresentados são a suscetibilidade a roubos e a divulgação não autorizada de dados pessoais nos aplicativos. Em relação ao site acessado, o pesquisador Félix Krause alerta que o JavaScript adicional pode ocasionar mau funcionamento ou até problemas mais graves no celular, como a inserção de anúncios sem autorização ou a substituição da chave API para roubar a receita das publicidades. Há potencial, inclusive, para a destruição do site.
Como descobrir quais informações foram rastreadas?
O pesquisador Félix Krause desenvolveu uma ferramenta para ajudar usuários a terem mais informações sobre os dados coletados pelos apps. Ela é capaz de identificar alguns dos comandos JavaScript executados pelas plataformas. Embora não consiga listar todos, o recurso pode fornecer um vislumbre das atividades com o potencial de colocar dados em risco.
2 de 3 Aplicativos podem rastrear informações usando navegadores internos — Foto: Dmitry Marchenko/EyeEm/Getty ImagesAplicativos podem rastrear informações usando navegadores internos — Foto: Dmitry Marchenko/EyeEm/Getty Images
A ferramenta está disponível no site InAppBrowser.com. Para usá-la, basta copiar o endereço “InAppBrowser.com” (sem aspas) e colá-lo dentro do app que quer verificar, seja ao enviar por meio de uma mensagem, publicar em um comentário ou postar no feed. Feito isso, abra o link para visualizar os resultados.
Nos testes feitos pelo pesquisador no Instagram, TikTok e Facebook, ficou claro que os apps injetam o código para modificar as páginas, como inserir entradas e seleções de texto. Eles também buscam metadados, o que não representa riscos para o usuário.
Por que o TikTok é especialmente perigoso?
O aplicativo de vídeos curtos para Android e iPhone (iOS) não oferece a opção de acessar links por meio de navegador padrão do smartphone. Ou seja, ao abrir uma URL linkada no app, ela é acessada por meio de navegador interno do serviço. Ao ser questionada sobre, a empresa disse que a opção não está presente pois resultaria em uma experiência "desajeitada".
3 de 3 TikTok não permite que os usuários abram links externamente — Foto: Divulgação/PixabayTikTok não permite que os usuários abram links externamente — Foto: Divulgação/Pixabay
Além disso, o TikTok afirmou que o código JavaScript é usado apenas para atividades de depuração e análise de desempenho — como checar o tempo de resposta da página —, com o intuito de melhorar a experiência na plataforma. O serviço assegurou ainda que o mecanismo não possui a função de capturar qualquer tipo de entrada de texto feita por usuários.
De qualquer forma, o desenvolvedor da ferramenta InAppBrowser.com alerta que o não aparecimento de códigos JavaScript ao executá-la não quer dizer que o usuário está totalmente seguro. Isso porque esses comandos representam apenas uma entre várias formas de ataque disponíveis. Além do mais, é possível que os desenvolvedores tornem os comandos JavaScript invisíveis.
Como posso me proteger?
Para se proteger, opte por abrir links pelo navegador padrão do smartphone. Isso porque opções como o Google Chrome e Safari oferecem mais recursos de segurança, como o bloqueio de cookies de terceiros. Vale lembrar que, no Facebook e no Instagram, é possível selecionar essa opção. O mesmo não se aplica ao TikTok. Por isso, é necessário copiar a URL do app e colá-la manualmente no navegador. Caso não seja possível, é preciso digitar o endereço diretamente no browser.
O que dizem a Meta e o TikTok
Diante da polêmica, o 💥️TechTudo entrou em contato com a Meta, responsável pelo Facebook e Instagram; e com o TikTok, para saber o posicionamento das empresas em relação à execução de comandos JavaScript — que podem capturar informações de usuários pelos apps. A plataforma de vídeos curtos não deu retorno até o fechamento da matéria. A Meta, por sua vez, respondeu que as afirmações não procedem.
"Estas afirmações são falsas e distorcem a forma como funcionam o navegador dentro dos aplicativos Meta e o Pixel. Desenvolvemos intencionalmente este código para respeitar as escolhas das pessoas com relação ao App Tracking Transparency em nossas plataformas”, afirmou a empresa dona do Facebook e Instagram.
4 lugares onde hackers podem encontrar informações sobre você
O que você está lendo é [Links que você abre em apps podem te rastrear; entenda e saiba se proteger].Se você quiser saber mais detalhes, leia outros artigos deste site.
Wonderful comments