El investigador Felix Krause publicó un informe sobre los riesgos que implica el uso de ciertas aplicaciones móviles. Las aplicaciones inspeccionadas incluyen una función muy concreta: un navegador web integrado. Instagram, Facebook o TikTok incluyen esta función “para mejorar la experiencia del usuario” ya que es “menos molesto” que al pinchar en un enlace, no se salga de la aplicación en lugar de cambiar de aplicación y utilizar el navegador web del teléfono.
Lo que se ha hallado son inyecciones de código Javascirpt en sitios web de terceros que suponen un riesgo de seguridad y privacidad. El propio investigador ha publicado la aplicación web InAppBrowser.com para listar todos aquellos comandos detectados.
Esta aplicación se utiliza publicando el enlace en alguna de estas aplicaciones y luego pinchando sobre él, buscando que se abra el navegador de la aplicación en lugar del habitual del teléfono en cuestión (Safari en iOS y Chrome en Android). En la pantalla aparecerán, acto seguido, aquellos códigos que se ejecutan sin que lo sepamos.
En el caso específico de TikTok, lo que detecta la aplicación es una serie de código capaz de registrar todas las entradas de texto que reliza el usuario en el navegador web interno. Esto podría incluir en algunos casos datos bancarios o credenciales. For its part, Tik Tok afirma que no utiliza dichas funciones ni almacena la información.
On the other hand, Instagram hace algo parecido mediante un pequeño programa en Javascript que también podría registrar dónde presionamos en la pantalla.
Aunque se registren las acciones del usuario, no se puede verificar (al menos con la aplicación diseñada con el investigador) lo que ocurre con los datos registrados.
Para los usuarios normales, lo recomendable sería utilizar en todo momento el navegador propio del teléfono. Normalmente, dicha opción se encuentra en la esquina superior derecha en un botón llamado “Abrir en navegador web” o similar. In addition, se debe prestar atención dónde se inserta la información.
Sources: Segu-Info | Felix Krause