数日前、開発者のFelix Krause氏は、モバイルアプリが独自のアプリ内ウェブブラウザを使ってユーザーデータを追跡する方法について詳細なレポートを公開しました。そして今回、Krause氏はアプリ内ブラウザを通じて挿入されたJavaScriptコマンドを誰でも確認できる新しいツールを発表しました。

このプラットフォームは InAppBrowser と呼ばれ、関心のあるユーザーは誰でもアクセスして、アプリ内に埋め込まれた Web ブラウザがどのように JavaScript コードを挿入してユーザーを追跡するかを確認できます。

ご存知ない方のために説明すると、アプリ内ブラウザは通常、ユーザーがアプリ内のURLをタップすると起動します。これにより、SafariやGoogle Chromeなどの外部ブラウザアプリにユーザーをリダイレクトすることなく、アプリはウェブページを表示します。

しかし、これらのアプリ内ブラウザはiOSのSafariのWebKitをベースにしていますが、開発者は独自のJavaScriptコードを実行するように変更することができます。その結果、ユーザーは知らないうちにトラッキングされる可能性が高くなります。例えば、アプリはカスタムアプリ内ブラウザを使用して、ウェブページ上のタップ、キーボード入力、ウェブサイトのタイトルなどをすべて収集することができます。

このようなデータは、個人のデジタル指紋を作成するために利用される可能性があります。多くの場合、ウェブ上でユーザーから収集されたデータは、ターゲティング広告に使用されます。クラウス氏は、このプラットフォームはすべてのJavaScriptコマンドを検出できるわけではないものの、アプリがどのようなデータを収集しているかについて、ユーザーに詳細な情報を提供すると指摘しています。

InAppBrowserツールの使い方

InAppBrowserツールの使い方は非常に簡単です。まず、分析したいアプリを開きます。次に、アプリ内のどこかで「https://InAppBrowser.com」というURLを共有します（友達にDMで送信することもできます）。アプリ内のリンクをタップしてアプリを開き、JavaScriptコマンドに関するレポートを取得します。

クラウス氏は、このツールをいくつかの人気アプリでテストし、ユーザーがこうした手間を省くことに成功しました。例えば、TikTokはアプリ内ブラウザでURLを開いた際のキーボード入力と画面タップをすべて監視できます。また、Instagramはウェブサイト上のテキスト選択をすべて検出できます。

もちろん、開発者は、JavaScriptが多くのウェブ機能の基盤となっているため、アプリ内ブラウザにJavaScriptコードを挿入するアプリのすべてが悪意のある目的でそうしているわけではないと指摘しています。詳細については、Krause氏のウェブサイトをご覧ください。

最新情報：クラウス氏の申し立てに対するTikTokの反応

TikTokは9to5Macに連絡を取り、クラウス氏の主張に対する声明を発表しました。同社によると、これらの報道は「不正確で誤解を招く」とのことです。短編動画に特化したこのソーシャルネットワークは、クラウス氏自身もJavaScriptコードが必ずしも悪意のある目的で使用されているわけではないと述べていると指摘しています。

TikTokに関する報告書の結論は誤りであり、誤解を招くものです。研究者は、JavaScriptコードがアプリが悪意のある行為を行っていることを意味するものではないと明言し、アプリ内ブラウザがどのようなデータを収集しているかを知る術がないことを認めています。報告書の主張とは異なり、このコードを通じてキー入力やテキスト入力は収集しておらず、このコードはデバッグ、トラブルシューティング、パフォーマンス監視のみに使用されます。

TikTokの広報担当者

TikTokの広報担当者によると、研究者が例として挙げたコードの一部は一般的な入力であり、ユーザーがアプリ内またはアプリ内ブラウザで入力した内容を収集するために使用されているわけではないとのことです。JavaScriptコードは、ウェブページのデバッグ、トラブルシューティング、パフォーマンス監視によく使用されます。

TikTokの広報担当者はまた、同社がユーザーに提示したプライバシーポリシーを尊重しており、アプリはユーザーが共有することを選択した情報のみを収集すると保証した。

havebin.com を Google ニュース フィードに追加します。