Aplicativos como TikTok, Instagram e Facebook, disponíveis para celulares Android e iPhone (iOS), podem coletar informações confidenciais de usuários. Segundo o pesquisador e desenvolvedor Félix Krause, isso acontece por meio de um código JavaScript que é acionado quando alguém abre um link pelos navegadores internos das plataformas. O mecanismo, que funciona como um keylogger, pode registrar as interações feitas com o site visitado, o que inclui textos digitados e capturas de tela feitas. Assim, dados como números de cartão de crédito e senhas podem ser comprometidos.
Ainda que as desenvolvedoras dos aplicativos neguem que o código seja usado para fins maliciosos, a situação levanta sérias suspeitas sobre a privacidade dos usuários em redes sociais. Para descobrir se você está sendo monitorado, é possível usar ferramentas como a InAppBrowser.com, desenvolvida por Krause. Entenda, nas linhas a seguir, por que os links que você abre em aplicativos podem te rastrear e saiba como se proteger.
Como e por que os navegadores de apps podem rastrear o que eu faço? Quais informações são coletadas?
Ao abrir um link através de apps como TikTok, Instagram e Facebook, este é carregado no navegador da própria plataforma, e não pelo browser padrão do sistema — Chrome, no Android; e Safari, no iOS. Essa ação pode permitir que um código JavaScript seja usado para monitorar a interação do usuário com a URL aberta, estabelecendo uma "ponte" entre os serviços. Dessa forma, o mecanismo pode rastrear e captar as atividades realizadas na página, como textos digitados, botões selecionados e capturas de tela feitas.
A Meta, empresa responsável pelo Facebook e Instagram, afirma que os dados são recolhidos com o intuito de conhecer o usuário e poder personalizar o algoritmo de modo eficaz, como para direcionar propagandas. Além disso, a companhia reiterou que, ao concordarem com os termos e condições das plataformas, os usuários permitem esse rastreio.
No entanto, não é possível saber exatamente quais as informações coletadas pelo código, o que acende um alerta para a possibilidade de obtenção de informações sensíveis, como endereços, números de cartões e senhas. No caso dos métodos de pagamento, contudo, a Meta explica que os usuários precisam consentir com o salvamento dos dados para possibilitar preenchimentos automáticos.
Os principais riscos apresentados são a suscetibilidade a roubos e a divulgação não autorizada de dados pessoais nos aplicativos. Em relação ao site acessado, o pesquisador Félix Krause alerta que o JavaScript adicional pode ocasionar mau funcionamento ou até problemas mais graves no celular, como a inserção de anúncios sem autorização ou a substituição da chave API para roubar a receita das publicidades. Há potencial, inclusive, para a destruição do site.
Como descobrir quais informações foram rastreadas?
O pesquisador Félix Krause desenvolveu uma ferramenta para ajudar usuários a terem mais informações sobre os dados coletados pelos apps. Ela é capaz de identificar alguns dos comandos JavaScript executados pelas plataformas. Embora não consiga listar todos, o recurso pode fornecer um vislumbre das atividades com o potencial de colocar dados em risco.
A ferramenta está disponível no site InAppBrowser.com. Para usá-la, basta copiar o endereço “InAppBrowser.com” (sem aspas) e colá-lo dentro do app que quer verificar, seja ao enviar por meio de uma mensagem, publicar em um comentário ou postar no feed. Feito isso, abra o link para visualizar os resultados.
Nos testes feitos pelo pesquisador no Instagram, TikTok e Facebook, ficou claro que os apps injetam o código para modificar as páginas, como inserir entradas e seleções de texto. Eles também buscam metadados, o que não representa riscos para o usuário.
Por que o TikTok é especialmente perigoso?
O aplicativo de vídeos curtos para Android e iPhone (iOS) não oferece a opção de acessar links por meio de navegador padrão do smartphone. Ou seja, ao abrir uma URL linkada no app, ela é acessada por meio de navegador interno do serviço. Ao ser questionada sobre, a empresa disse que a opção não está presente pois resultaria em uma experiência "desajeitada".
Além disso, o TikTok afirmou que o código JavaScript é usado apenas para atividades de depuração e análise de desempenho — como checar o tempo de resposta da página —, com o intuito de melhorar a experiência na plataforma. O serviço assegurou ainda que o mecanismo não possui a função de capturar qualquer tipo de entrada de texto feita por usuários.
De qualquer forma, o desenvolvedor da ferramenta InAppBrowser.com alerta que o não aparecimento de códigos JavaScript ao executá-la não quer dizer que o usuário está totalmente seguro. Isso porque esses comandos representam apenas uma entre várias formas de ataque disponíveis. Além do mais, é possível que os desenvolvedores tornem os comandos JavaScript invisíveis.
Para se proteger, opte por abrir links pelo navegador padrão do smartphone. Isso porque opções como o Google Chrome e Safari oferecem mais recursos de segurança, como o bloqueio de cookies de terceiros. Vale lembrar que, no Facebook e no Instagram, é possível selecionar essa opção. O mesmo não se aplica ao TikTok. Por isso, é necessário copiar a URL do app e colá-la manualmente no navegador. Caso não seja possível, é preciso digitar o endereço diretamente no browser.