24.08.2022 - 21:40
Facebook, Instagram i TikTok poden monitorar sense autorització tot allò que els usuaris de dispositius d’Apple fan i escriuen, incloent-hi informació delicada com ara contrasenyes i adreces, cada vegada que obren un enllaç extern –per exemple, un anunci– dins l’aplicació. Així ho demostra una investigació de l’enginyer informàtic Felix Krause, que explica que aquestes aplicacions no solament poden rastrejar tota la informació que els usuaris escriuen en pàgines externes sinó també tots els clics i moviments de cursor, com si en fossin els administradors.
Són capaces de saber-ho tot
Quan l’usuari fa clic en un enllaç extern dins algunes xarxes socials com ara Facebook i TikTok, l’aplicació no obre l’adreça en el navegador predeterminat del telèfon, com ara Safari i Google Chrome, sinó en un navegador intern de l’aplicació mateixa. Aquests navegadors interns es basen en el motor de Safari, el navegador propi d’Apple, que tots els iPhones i iPads incorporen per defecte, però els desenvolupadors poden ajustar-ne el disseny per executar-hi un codi propi.
És per mitjà d’aquest codi propi que TikTok i les aplicacions de Meta –Facebook i Instagram, però també uns altres serveis com ara Messenger i Meta Business Suite– poden monitorar la informació de l’usuari en una pàgina externa sense el consentiment explícit de l’administrador de la pàgina ni de l’usuari mateix.
El volum d’informació rastrejat varia segons l’aplicació amb què s’obre l’enllaç, però pot incloure de les entrades del teclat –és a dir: tot allò que s’hi hagi escrit– fins als detalls sobre les captures de pantalla que l’usuari hi pugui haver fet. Krause, investigador especialitzat en ciberseguretat que ha treballat per a gegants tecnològics com ara Google i Twitter, és contundent: “L’aplicació pot monitorar tot allò que passa a la pàgina web.”
Tanmateix, això no vol dir necessàriament que les aplicacions s’apropiïn d’amagatotis d’informació dels usuaris, com ara les contrasenyes. Segons que puntualitza Krause, senzillament vol dir que poden desar aquesta informació sense que l’usuari ho sàpiga. “I, tal com demostra el passat, si una companyia pot apropiar-se d’informació dels usuaris legalment i de franc, sense haver-los de demanar permís, ho farà.”
I afegeix: “No tinc una llista exacta de les dades que Instagram monitora. Però sí que tinc proves que tant Instagram com Facebook executen activament processos que injecten codis sense el consentiment de l’usuari, i que en monitoren les seleccions de text. Si Instagram ja fa això, podria monitorar qualsevol element més”, avisa.
Una fuita de privacitat inesperada
La troballa és especialment important perquè aquests darrers anys Apple ha fet tota mena de modificacions en el programari dels iPhones i iPads –com ara la creació d’un sistema antirastreig– orientats a evitar, precisament, aquesta mena de fuites de privacitat. Safari, per exemple, ha desactivat les galetes de tercers per evitar que les pàgines web emmagatzemin informació delicada dels usuaris sense el seu permís explícit, un canvi que tant el navegador Firefox de Mozilla com el Chrome de Google han dit que inclouran ben aviat.
La solució, segons que explica Krause, és ben simple: “Quan obriu un enllaç des de qualsevol aplicació, comproveu si ofereix una manera d’obrir-lo al vostre navegador predeterminat.” És una opció que ara com ara tenen totes les aplicacions analitzades, excepte TikTok. Una alternativa és fer servir la versió web de l’aplicació –introduir-ne l’adreça web al navegador predeterminat.
Rastreig en temps real
Krause, a més, ha desenvolupat una eina anomenada InAppBrowser, que permet als usuaris de comprovar en temps real la informació que les aplicacions rastregen en els navegadors interns. Per fer-la servir, haureu d’obrir l’adreça InAppBrowser.com en l’aplicació que vulgueu inspeccionar, cosa que generarà automàticament un informe sobre els codis que fa servir sense que ho sapiguem. A Facebook, per exemple, podeu enviar l’enllaç en un missatge privat i tot seguit fer-hi clic, cosa que us redirigirà a l’informe.
Tanmateix, Krause admet que l’eina no és infal·lible, atès que no pot detectar certs codis ni dirimir exactament quina informació de l’usuari és rastrejada i quina no. Però, tot i les limitacions, demostra una realitat si més no incòmoda: que les grans aplicacions que fem servir tant saben molt més de nosaltres que no voldríem.
