Många mobilappar har inbyggda webbläsare. När exempelvis en Facebook-användare klickar på en länk i appen öppnas webbsidan i Facebooks inbyggda webbläsare, i stället för i mobilens standardwebbläsare. Samma sak gäller Instagram. Detta är enerverande för många användare eftersom de appinbyggda webbläsarna saknar funktionalitet som de fristående webbläsarna besitter. Exempel på sådan funktionalitet är spårningsblockerare, webbläsarhistorik och läsvy. Säkerhetsindikatorerna (hänglåset) och eventuella säkerhetsvarningar visas inte heller på samma vis i de appinbyggda webbläsarna, något som kan göra det lättare att lura användarna.
Säkra anslutningar (HTTPS) garanterar att datan som når webbläsaren inte har modifierats på vägen dit. Det är därför flygbolag enbart kan modifiera innehållet på webbsidor som laddas in över osäkra anslutningar på flygplanens wifi-nät (läs mer i artikeln Flygplans-wifi visar behovet av säkra anslutningar). HTTPS garanterar däremot inte att webbläsaren visar innehållet exakt som det är tänkt. Webbläsaren och dess eventuella tillägg kan modifiera innehållet. Det är så annonsblockerare fungerar. Detta innebär att webbsidor som visas i Facebooks och Instagrams appinbyggda webbläsare visas så som Meta vill (Meta är företaget som äger Facebook och Instagram).
Facebook lägger till eget innehåll på andras webbplatser
Förra veckan avslöjade Felix Krause att Facebook- och Instagram-apparna faktiskt ändrar i innehållet på webbsidor som visas i de appinbyggda webbläsarna. Detta är ett integritetsproblem eftersom Meta därigenom kan samla in information från händelser på andra webbplatser än Metas egna. Enligt information som Krause har fått från Meta lägger de till ett skript för att “aggregate events, i.e. online purchase, before those events are used for targeted advertising and measurement for the Facebook platform”. När en användare besöker webbplatser med Facebooks eller Instagrams appinbyggda webbläsare får Meta alltså möjlighet att spåra användaren i annonseringssyfte.
Tiktok installerar keylogger på webbsidor
Den här veckan avslöjade Felix Krause att Tiktok gör något ännu värre. Tiktoks appinbyggda webbläsare lägger till ett skript på webbsidorna för att övervaka användarens tangentbordstryckningar. I praktiken installerar alltså Tiktok en keylogger (tangentbordsinspelare) på webbsidor som visas i deras appinbyggda webbläsare. I ett uttalande till Forbes meddelar Tiktok att de enbart gör detta för felsökning och prestandamonitorering.
Rekommendation: undvik appens inbyggda webbläsare
Avslöjandet kring Tiktok förändrar problematiksbilden. Användande av appinbyggda webbläsare går från att vara ett integritetsproblem till ett konkret säkerhetsproblem med exempel från verkligheten. Tiktok och liknande appar skulle kunna spara allt som skrivs i de appinbyggda webbläsarna, inklusive lösenord.
Det är inte alla appar med inbyggda webbläsare som påverkas. På sin webbplats listar Krause Iphone-appar vars inbyggda webbläsare är säkra (märkta SFSafariViewController). Problemet är att vanliga användare inte ser skillnad på säkra och osäkra appinbyggda webbläsare. Av denna anledning är vår rekommendation simpel: undvik att använda appinbyggda webbläsare. När du klickar på en länk i exempelvis Facebook-appen bör du direkt därefter välja ”Öppna i webbläsare”. Då öppnas webbsidan i din förvalda webbläsare i stället (till exempel Firefox, Safari eller Chrome). När webbsidan visas där kan appen som länkade dit inte längre påverka innehållet.
I vissa appar, exempelvis Reddit, kan du också välja om du vill att länkar ska öppnas i din förvalda webbläsare som standard. Välj det alternativet, så slipper du extraklick. Tyvärr erbjuder långt ifrån alla appar denna möjlighet. Facebook erbjuder det enbart i sin Android-app, inte i Iphone-appen. I Facebooks Android-app kan du öppna Inställningar, klicka på Media och kryssa i Länkar öppnas externt för att slippa den appinbyggda webbläsaren.
Tiktok-appen utmärker sig här på ytterligare ett sätt i negativ bemärkelse. Tiktok-appen saknar nämligen helt möjligheten att välja ”öppna i webbläsare”. Låt därför helst bli att klicka på länkar i Tiktok-appen. Om du måste göra det bör du åtminstone aldrig skriva något känsligt på webbsidorna som visas.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.