Avrete certamente notato che su molte applicazioni iOS e Android, tra cui Facebook, Instagram e TikTok, i link non si aprono nel browser di default del vostro smartphone, bensì in un browser in-app proprietario.
Nell'ultima settimana le ricerche condotte dall'ex ingegnere Google Felix Krause proprio sui browser in-app della suite Meta hanno rivelato la presenza di codice Javascript aggiuntivo con finalità di aggregazione dati.
L'azienda di Zuckerberg ha subito ribadito la compatibilità di questo codice aggiuntivo con la normativa in materia di privacy, ma la presenza di questo tipo di codice nei browser in-app di altre piattaforme e applicazioni può comunque rappresentare un campanello d'allarme per la sicurezza degli utenti.
A questo proposito, Krause ha reso disponibile al pubblico InAppBrowser, il tool utilizzato per rilevare e analizzare la presenza di codice Javascript aggiuntivo nei browser in-app di iOS e Android.
Prima di illustrare come potrete utilizzare InAppBrowser per analizzare i browser delle vostre applicazioni, occorre specificare che, come dimostra il caso Meta, la presenza di codice Javascript aggiuntivo in un browser non equivale automaticamente a una minaccia per la privacy.
In base alle dichiarazioni di piattaforme come TikTok, infatti, iverse stringhe di Javascript sono spesso utilizzate per aggregare i dati degli utenti (i cosiddetti eventi), senza tuttavia tracciarne le attività durante l'intera navigazione online, ma anche per migliorare l'esperienza utente a un livello più generale.
D'altra parte InAppBrowser non riesce a rilevare il 100% del codice aggiuntivo all'interno di un browser. Questa avvertenza riguarda soprattutto iOS, dove a partire dalla versione 14.3 è stata introdotta la funzionalità "Isolated World", che rende di fatto impossibile ai siti Web la verifica del codice Javascript.
Come utilizzare InAppBrowser
Da oggi verificare la presenza di codice aggiuntivo in-app è più facile che mai: basta collegarvi al link https://inappbrowser.com dal browser che intendete analizzare. Nel caso di alcune applicazioni, potreste avere bisogno di un ulteriore passaggio:
- Postare pubblicamente il link https://inappbrowser.com sull'app in questione;
- Nel caso delle app di messaggistica, inviare il link a voi stessi in DM e cliccarlo.
A questo punto InAppBrowser genererà automaticamente un report analizzando l'eventuale codice Javascript iniettato nel browser in-app scelto. Se una o più funzionalità rappresentano un rischio per la privacy, InAppBrowser provvederà a segnalarle in rosso.
Grazie a InAppBrowser potrete così avere maggiore consapevolezza sulle azioni intraprese dalle piattaforme che utilizzate quotidianamente, in modo da prendere decisioni più informate per proteggere la vostra sicurezza e privacy.