September 26, 2022

Bukan rahasia besar bahwa perusahaan teknologi seperti Meta, TikTok, dan Google secara rutin mengawasi sebanyak mungkin aktivitas penggunanya, tetapi alat situs web baru mengungkap betapa licik (dan menyeramkan) mereka melakukannya. Pekan lalu, peneliti keamanan dan mantan karyawan Google, Felix Krause, menulis sebuah artikel yang menjelaskan bagaimana bisnis sering menyuntikkan kode JavaScript ke situs web pihak ketiga yang dikunjungi di aplikasi seperti Instagram dan Facebook untuk melacak hampir semua yang Anda lakukan dan klik. Mengikuti tanggapan yang dapat dimengerti dari para pembacanya, Krause kemudian membangun sebuah situs web bernama InAppBrowser.com yang menunjukkan kepada Anda sebagian besar dari apa yang dapat dilihat oleh semua perusahaan ini—cukup besar, tetapi sayangnya tidak komprehensif.

[ Related: “You have the power to protect your data. Own it.“ ]

InAppBrowser Krause dapat menunjukkan kepada Anda setidaknya beberapa metode pelacakan teduh ini dengan membuka situs web di dalam aplikasi. Namun, seperti yang dia catat dalam postingannya, “Tidak ada cara bagi kami untuk mengetahui detail lengkap tentang jenis data yang dikumpulkan oleh setiap browser dalam aplikasi, atau bagaimana atau jika data tersebut ditransfer atau digunakan… [InAppBrowser] menyatakan perintah JavaScript yang dieksekusi oleh setiap aplikasi, serta menjelaskan efek apa yang mungkin dimiliki masing-masing perintah tersebut.”

Untuk menggunakan InAppBrowser, yang perlu Anda lakukan hanyalah menyalin alamat situs web lengkapnya (https://inappbrowser.com/) dan tempel sebagai tautan yang dapat diklik dalam aplikasi pilihan Anda. Di Instagram, misalnya, Anda dapat membuat posting dummy (seperti cerita Instagram yang dibuat semata-mata untuk tujuan menghosting tautan), mengirim pesan langsung dengan tautan, atau menempelkan tautan ke bio profil Anda. Kemudian cukup klik tautan di dalam aplikasi untuk membuka browser dalam aplikasi dan melihat hasilnya.

See also  5 hal yang dapat Anda lakukan untuk mengurangi risiko tenggelam anak Anda

PopSci menguji situs tersebut di dalam Instagram dan menerima laporan berikut:

Sebagai The Verge menjelaskan, “Browser dalam aplikasi digunakan saat Anda mengetuk URL di dalam aplikasi. Sementara browser ini didasarkan pada Safari WebKit di iOS, pengembang dapat menyesuaikannya untuk menjalankan kode JavaScript mereka sendiri, memungkinkan mereka untuk melacak aktivitas Anda tanpa persetujuan dari Anda atau situs web pihak ketiga yang Anda kunjungi.” Yang, tentu saja, adalah apa yang terjadi. Semuanya, mulai dari penekanan tombol, hingga teks yang disorot, hingga tautan yang diklik dapat dipantau, berpotensi bersama dengan informasi yang lebih pribadi seperti nama pengguna, kata sandi, dan nomor telepon. Meskipun tidak dapat diprediksi apa yang akan dilakukan perusahaan seperti Meta dengan info itu, Krause menunjukkan bahwa aktor jahat berpotensi mengeksploitasi celah keamanan dengan sisipan JavaScript mereka sendiri.

[ Related: “Apple pushes for more in-app ads” ]

Meskipun alat InAppBrowser tidak lengkap, Krause memastikan bahwa seluruh kode sumbernya tersedia sumber terbuka di GitHub, sebuah situs yang memungkinkan akses, analisis, dan peningkatan komunitas di masa mendatang. Dan meskipun tidak mungkin salah satu perusahaan akan menghapus kode JavaScript mereka dalam waktu dekat, jadi di masa depan yang terbaik adalah menyalin tautan apa pun yang ingin Anda kunjungi dan membukanya di peramban pilihan Anda.