科技公司如 Meta、TikTok 和 Google 会常规性地密切关注用户尽可能多的用户活动,这一点早已不是秘密,但一个新网站工具正在揭露它们是如何偷偷摸摸(而且令人毛骨悚然)地做到这一点的。上周,安全研究员兼前 Google 员工 Felix Krause 撰写了一篇文章,解释了企业如何经常在 Instagram 和 Facebook 等应用内访问的第三方网站中注入 JavaScript 代码,以跟踪你几乎所做和点击的一切。在他读者们可以理解的担忧回应之后,Krause 随后构建了一个名为 InAppBrowser.com 的网站,该网站显示了所有这些公司可以看到的大量内容——虽然内容很多,但可惜并不全面。
[ 相关: “你有权保护你的数据。掌握它。” ]
Krause 的 InAppBrowser 可以通过在应用内打开网站来向你展示至少一些这些可疑的跟踪方法。正如他在文章中指出的那样,“我们无法确切了解每种应用内浏览器收集哪些数据,或者这些数据是如何被传输或使用的…… [InAppBrowser] 显示了每个应用执行的 JavaScript 命令,并描述了每个命令可能产生的影响。”
要使用 InAppBrowser,你只需要复制其完整的网站地址(https://inappbrowser.com/),然后在你选择的应用中将其粘贴为一个可点击的链接。例如,在 Instagram 上,你可以发布一个虚拟帖子(比如一个仅用于托管链接的 Instagram 快拍),发送带有该链接的私信,或者将链接粘贴到你的个人资料简介中。然后只需在应用内点击链接即可打开应用内浏览器并查看结果。
PopSci 在 Instagram 中测试了该网站,并收到了以下报告。
正如 The Verge 所解释的那样,“应用内浏览器在你点击应用内的 URL 时使用。虽然这些浏览器基于 iOS 上的 Safari 的 WebKit,但开发者可以调整它们来运行自己的 JavaScript 代码,从而在未经你或你访问的第三方网站同意的情况下跟踪你的活动。”当然,这正是发生的事情。从键盘输入、突出显示的文本到点击的链接,一切都可以被监控,甚至可能包括更私密的信息,如用户名、密码和电话号码。虽然 Meta 等公司如何处理这些信息有时难以预测,但 Krause 指出,不良行为者可能会利用这些安全漏洞插入他们自己的 JavaScript。
[ 相关:“苹果公司推动更多应用内广告” ]
尽管 InAppBrowser 工具并不全面,但 Krause 确保其完整的源代码已在 GitHub 上开源,该网站允许未来的社区访问、分析和改进。虽然这些公司不太可能很快移除它们的 JavaScript 代码,但为了将来好,最好是直接复制你想要访问的任何链接,并在你选择的浏览器中打开它。
