科技公司,例如 Meta、TikTok 和 Google,密切監控用戶的各種活動早已不是什麼秘密,但一款新的網站工具卻揭露了它們是如何以如此隱秘(甚至令人毛骨悚然)的方式進行監控的。上週,安全研究員、前 Google 員工 Felix Krause 發表了一篇文章,解釋了企業如何經常在 Instagram 和 Facebook 等應用程式中造訪的第三方網站中註入 JavaScript 程式碼,從而追蹤用戶的幾乎所有操作和點擊。鑑於讀者們對此表示擔憂,Krause 隨後創建了一個名為 InAppBrowser.com 的網站,該網站展示了這些公司能夠獲取的大部分資訊——雖然資訊量很大,但遺憾的是並不全面。
【相關內容: 「你有能力保護你的資料。掌控它。 」】
Krause 的 InAppBrowser 可以透過在應用程式內開啟網站來展示至少一部分此類不正當的追蹤方法。然而,正如他在文章中指出的那樣,“我們無法完全了解每個應用程式內瀏覽器收集的資料類型,也無法得知這些資料是如何傳輸或使用的…[InAppBrowser] 會列出每個應用程式執行的 JavaScript 命令,並描述每個命令可能產生的影響。”
要使用 InAppBrowser,您只需複製其完整網址 ( https://inappbrowser.com/ ) 並將其作為可點擊連結貼上到您選擇的應用程式中即可。例如,在 Instagram 上,您可以建立一個虛擬貼文(例如專門用於放置連結的 Instagram 快拍),發送包含連結的私訊,或將連結貼到您的個人簡介中。然後,只需點擊應用程式內的連結即可開啟應用程式內瀏覽器並查看結果。
PopSci在 Instagram 上測試了該網站,並收到了以下報告:
正如The Verge所解釋的那樣,「當你在應用程式內點擊網址時,就會使用應用程式內瀏覽器。雖然這些瀏覽器基於iOS上的Safari WebKit內核,但開發者可以對其進行修改,使其運行自己的JavaScript程式碼,從而在未經你或你訪問的第三方網站同意的情況下追蹤你的活動。」而這正是實際發生的情況。從鍵盤輸入、高亮文字到點擊鏈接,所有操作都可能被監控,甚至可能包括用戶名、密碼和電話號碼等更私密的資訊。雖然像Meta這樣的公司會如何處理這些資訊尚不可知,但Krause指出,不法分子可能會利用這個安全漏洞,透過插入自己的JavaScript程式碼來達到目的。
【相關報導:蘋果力推更多應用程式內廣告】
儘管 InAppBrowser 工具的功能並不全面,但 Krause 確保其全部原始碼都開源在 GitHub 上,方便社區日後存取、分析和改進。而且,這些公司不太可能很快移除他們的 JavaScript 程式碼,所以將來最好的辦法是直接複製你想訪問的鏈接,然後在你選擇的瀏覽器中打開。
