最近、SNSのTiktokのアプリ中のブラウザの危険性が指摘されている。
TikTokのアプリ内ブラウザ、ユーザーが入力するすべての項目を監視(2022年8月19日)
https://iphone-mania.jp/news-478017/
専門家のフェリックス・クラウス氏によると、Tiktokのアプリ上で、投稿された外部リンクのWebサイトを開いたとき、Tiktokアプリ内のブラウザでしか開けない仕様となっている(iPhoneでは、SafariやChromeで開くことができない)が、そのTiktokブラウザでの操作やキー入力した文字列を、すべてTiktok運営側で記録し閲覧できるという。
そう記述されたJavaScriptのコードを同氏が確認したということである。
つまり、Tiktokアプリ内のブラウザでリンクを開いて、そこでフォームに個人情報やパスワードを打ち込めば、Tiktokに筒抜けになってしまうということである。
実は、2022年6月29日、米連邦通信委員会(FCC)のコミッショナー、ブレンダン・カー氏は6月29日(現地時間)、米Appleと米GoogleのCEOに、アプリストアから「TikTok」を削除するよう要請したとツイートで発表した。カー氏は同月19日のBuzzFeedの報道に言及し、TikTokを利用する米国ユーザーのデータが、中国から繰り返しアクセスされていたことを批判したという(下記記事)。
米FCC、AppleとGoogleにTikTokアプリをアプリストアから削除するよう要請(2022年6月30日)
https://www.itmedia.co.jp/news/articles/2206/30/news089.html#:~:text=%E7%B1%B3%E5%95%86%E5%8B%99%E7%9C%81%E3%80%81%E3%80%8CTi,12%E6%97%A5%E3%81%AB%E5%AE%8C%E5%85%A8%E5%81%9C%E6%AD%A2
しかしながら、実は、フェリックス・クラウス氏によれば、FacebookとInstagramでも、同様に、アプリ内のブラウザで外部リンクのWebサイトを開くと、そこでのキー入力はすべてJavaScriptによって記録されているという。
FaceBook・Instagramアプリでリンクを開くと「個人情報がダダ漏れになる」と専門家が指摘(2022年8月19日)
https://www.appbank.net/2022/08/12/technology/2278942.php
つまり、FacebookやInstagramでも、同様に、内部ブラウザで外部リンクのWebサイトにおいてキー入力をしたりすれば、個人情報やパスワードが運営側のMetaにダダ漏れになる、ということである。
ちなみに、Facebookアプリでは、設定により、Facebookアプリの内部ブラウザで外部リンクを開かず、Android標準ブラウザで外部リンクを開くように設定することができる。
Facebookアプリの、
右上にある横三本線→設定とプライバシー→設定→設定→メディア→(一番下の)「リンクを外部で開く」にチェック
をする。
これで、AndroidであればChromeで外部リンクのWebサイトを開く。
ほとんどの人はこの設定方法を知らないであろう。
ちなみにInstagramは、どうも、一度はアプリ内のブラウザで外部リンクのWebサイトを開くことしか、選択肢は無いようである。
いったんアプリ内のブラウザで開いた上で、画面右上の3つの点(縦並び)をクリックし、Androidなら「Chromeで開く」をクリックすれば、Chromeが開いて同じWebサイトのページに移る。
それから比較的安全な標準ブラウザでネットサーフィンをすればよい。
なお、iPhoneでのFacebookとInstagramの動作は確認していないが、同様にSafariで開くことが可能と思われる。
Facebook、Instagramの運営主体のMetaも、以前から、ユーザーのプライバシーに対する配慮に問題があるとしばしば叩かれてきた歴史がある。
FacebookやInstagramの内部ブラウザで、パスワードを入力するなど、とんでもないことだと、私は思っているが、そうでもない人も多いのかもしれない。
Tiktokは、開発元が中国ということもあり、また、そもそも外部ブラウザにジャンプすることができないという仕様になっているようであるから、余計に国家安全戦略上レベルで危険とみなされているというところであろう。
ChromeやSafariなどに比べ、内部ブラウザのセキュリティレベルというのは信用しがたいものであるし、詐欺的な外部リンクの広告が表示されて漫然と跳んだらその瞬間そのWebサイトに仕込まれたScriptのコードが動作してマルウェアに感染するということも、起こりえそうである。
SNSの広告には、詐欺まがいの廉売広告サイトが表示されるケースも跡を絶たない。
自己防衛のために、SNSの外部リンクのWebサイトは、内部ブラウザでなく、外部ブラウザ(SafariやChrome)で開くように設定しよう。
といっても、Facebookでしかそう設定できないようであるが。
自己防衛策として、せめて、内部ブラウザで外部リンクを開いても、そのページ止まりにして、他のページに飛ばず、情報も一切入力しないことである。
ただし、Tiktokに関しては、そもそも外部ブラウザで開くことができないということで、そういった回避は難しそうである。
ということは、Tiktokは、仮に使うにしても、アプリでなく、そもそもChromeやSafariといったブラウザ上で開く、というのが、対策になる。
FacebookやInstagramでも、アプリを使わないでChromeやSafariといったブラウザからアクセスするのは、アプリ内のブラウザのJavaScriptが実行されないという意味では、有効な対策となる。
但し、そのブラウザの中のCookieをTiktokやFacebookやInstagramが読みに行くから、パスワードまるごとでなくても、別の意味で、ブラウジング全体について、一定の属性や関心の情報がTiktok、Facebook、Instagramに渡ることになる。
痛し痒しである。SNSを見るときだけブラウザを分けるのがよいか(笑)。
Tiktokもさりながら、Facebook(現Meta)の過去の行いも褒められたものではないので、一定の自己防衛はしないといけないが、SNSがどういうユーザーの情報を収集しているかは、意識しずらいので、リテラシーがないと厳しい。
いっそSNSを使わないという選択肢もあるわけだが、人との繋がり上そうもいかないという人は、気をつけながら使うしか無い。
なにしろSNSは便利さや楽しさと引き換えに、人の個人情報を可能な限り収集して属性や関心を絞り込み、ターゲット広告を打ちつことが、そのビジネスモデルの本質だから、ターゲット広告の精度を上げて広告単価をできるだけ釣り上げるためにも、個人情報を徹底的に収集するのである。
つまりユーザーは、SNSを利用すればするだけ個人情報を収集されるようにできているのが、SNSを利用するということに内在する宿命なのである。
そのユーザーの中でも、賢い消費者でいることが重要である。