Menu

Facebookのようなアプリ内ブラウザは大きなプライバシーリスクがある

  • Kepout
  • qbuwa
  • 0 comments
Facebookのようなアプリ内ブラウザは大きなプライバシーリスクがある
アプリ内ブラウザ | iPhone画面上のFacebookアプリ

一部のアプリでよく見られる迷惑な機能の 1 つに、ユーザーが選択したデフォルトのブラウザを尊重するのではなく、独自のアプリ内ブラウザを組み込んで Web リンクを開くというものがあります。

これは長い間面倒なことだったが、開発者が、特にFacebookのようなプライバシー基準で知られていない企業と取引する場合にそうすることのセキュリティリスクについて説明した。

アプリ内ブラウザの厄介な点は、自動ログイン用のユーザー名やパスワードといった保存データへのアクセスが許可されないことです。また、購入時の支払い情報にもアクセスできません。つまり、Safariに任せきりにせず、手動でデータを入力する必要があるのです。

しかし、Fastlaneの創設者であるフェリックス・クラウス氏は、より大きな問題はアプリ内ブラウザの使用に伴うプライバシーリスクだと説明する。彼はMetaを例に挙げる。

iOSのInstagramアプリとFacebookアプリは、アプリ内ですべてのサードパーティリンクと広告をカスタムアプリ内ブラウザを使用して表示します。これにより、ホストアプリがパスワードやアドレスなどのフォーム入力からタップ一つ一つに至るまで、外部ウェブサイトとのあらゆるインタラクションを追跡できるため、ユーザーに様々なリスクが生じます。

彼はインスタグラムについて言及していますが、Facebook でも全く同じことが言えます。

  • 外部ウェブサイトへのリンクは、組み込みの Safari を使用する代わりに、Instagram アプリ内でレンダリングされます。
  • これにより、Instagram はユーザーやウェブサイトプロバイダーの同意なしに、外部ウェブサイトで発生するすべてのことを監視できるようになります。
  • Instagram アプリは、広告をクリックしたときも含め、表示されるすべてのウェブサイトに追跡コードを挿入し、タップされたすべてのボタンやリンク、テキストの選択、スクリーンショット、パスワード、住所、クレジットカード番号などのフォーム入力など、すべてのユーザー操作を監視できるようにします。

これは、Meta が Apple の App Tracking Transparency ルールを回避するための非常に簡単な方法であり、暗号化されていない Web サイトと暗号化された Web サイトの両方で機能します。

重要なのは、Krause 氏は Meta がどのような情報を抽出するのかを明言できないということだ。同氏は、Meta が何かを抽出するということだけを確認した

Instagramが本国に送信するデータの正確なリストは持っていません。InstagramとFacebookアプリが、ユーザーの同意なしにJavaScriptコマンドを積極的に実行し、追加のJS SDKを挿入し、ユーザーのテキスト選択を追跡しているという証拠はあります。もしInstagramが既にこれを行っているのであれば、他のJSコードを挿入することも考えられます。

もちろん、実際にはMetaがパスワードやクレジットカード情報をコピーすることはありません。しかし、どのような情報が抽出されるのかは不明なので、アプリ内ブラウザから常に好みのブラウザに切り替えることをお勧めします。

例えばFacebookアプリでは、右下の3つの点をタップして「ブラウザで開く」を選択できます。アプリ内にこのオプションがない場合は、通常「共有」アイコンがあり、そこから「ブラウザで開く」か、リンクをコピーしてSafariに貼り付けるかを選択できます。

Krause 氏は、Web サイトがこの種のデータ収集に無意識のうちに参加してしまうことから自らを守る方法についても説明しています。

Instagramがこの問題を解決するまでは(もし解決するならですが)、InstagramアプリとFacebookアプリにトラッキングコードが既にインストールされていると思わせるのは簡単です。HTMLコードに以下のコードを追加するだけです。

<span id="iab-pcm-sdk"></span>
<span id="iab-autofill-sdk"></span>

さらに、Instagram がウェブサイト上でユーザーのテキスト選択を追跡するのを防ぐには、次の手順を実行します。

const originalEventListener = document.addEventListener
document.addEventListener = function(a, b) { if (b.toString().indexOf("messageHandlers.fb_getSelection") > -1) { return null; } return originalEventListener.apply(this, arguments);
}

最後に、彼はこうしたタイプのプライバシー侵害に対抗するために Apple に対していくつかの提言を行っている。

写真: James Yarema/Unsplash

kepout.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。