グーグルの元エンジニアのフェリックス・クラウス氏によると、iOSのInstagramやFacebook、TikTokは、ユーザーがアプリに組み込まれているアプリ内ブラウザを使ってウェブサイトを閲覧した場合、その行動が追跡される恐れがあるようです。
ウェブサイトにJavaScriptコード挿入
フェリックス・クラウス氏によると、iOSのInstagramとFacebookアプリに実装されているアプリ内ブラウザを使って外部のウェブサイトを閲覧した場合、ユーザーやウェブサイトのプロバイダーの同意なく、外部ウェブサイトでの操作が監視され追跡されてしまう恐れがあるということです。これは、アプリが、表示されるすべてのウェブサイトにJavaScriptコードを挿入するためで、このコードが挿入されたウェブサイト上でタップしたすべてのボタンとリンク、テキスト、スクリーンショット、さらにパスワードやアドレスなどのフォーム入力などのユーザーインタラクションが監視される恐れがあるということです。
また、新たにTikTok iOSアプリでも直接リンクを開くと、アプリ内ブラウザで開かれ、JavaScriptのコードが挿入されて、開いたウェブサイトを操作している間、TikTokがパスワードやクレジットカード情報などを含むキーボード入力、クリックするボタンやリンクなど画面上のすべてのタップを追跡することができることが明らかになったということです。これは閲覧したウェブサイトにキーロガーがインストールされているのと同じ状況のようです。
この問題について米メディアのForbesがTikTokに取材したところ、TikTokは、JavaScriptコードの存在を認める一方、ユーザーを追跡していることは否定し、JavaScriptコードはアプリの構築や保守に使用されるツールキット(SDK)の一部であり、バグやトラブルシューティング、ページの読み込み速度などパフォーマンスの監視にのみ使用されている機能だと回答したということです。
ターゲッティング広告のためのデータ収集?
アップルによると、iOS 14.5 、iPadOS 14.5 、 tvOS 14.5 以降、ユーザーのプライバシーに配慮したアップルのフレームワークであるApp Tracking Transparency(ATT)により、アプリは他社のアプリや Web サイトでのユーザーのアクティビティを追跡する前にユーザーに許可を求めなければならなくなりました。フェリックス・クラウス氏によると、アップルがATTを導入した後、Facebookを運用しているMetaは「アップルのシンプルなiPhoneアラートはFacebookに年間100億ドルの損失をもたらしている」と非難したようです。報道などによると、ユーザーを追跡できるJavaScriptコードがいつから挿入されたのかは明らかではないようです。Metaは、このJavaScriptコードについてオンライン購入などのデータを収集することでターゲッティング広告の分析に役立つなどと説明しているようです。
フェリックス・クラウス氏は、アプリ内ブラウザではない、ほとんどのiOSアプリに備わっている「ブラウザでウェブサイトを開く機能」を使ってウェブサイトを開くように求めています。ただし、TikTokにはこの機能はないようですので、アプリとは別にブラウザを開いて対応する必要があります。
フェリックス・クラウス氏の調査はあくまでも技術的な問題を指摘したものです。実際にInstagramやFacebook、TikTokのiOSアプリがユーザーを追跡していたり、その履歴等を収集していたことは確認されていないようですが、アプリ内ブラウザを使うと行動が見られてしまう恐れがあるということですからユーザーにとって気分がいいものではありません。InAppBrowser.comという簡易なツールを使うと、使用しているiOSアプリがJavaScriptコードを挿入していないかどうか確認することができるようです。
■出典