'In-app browsers negeren gebruikerskeuze en zijn privacy- en beveiligingsrisico'
In-app browsers negeren de keuze van gebruikers en zijn een privacy- en beveiligingsrisico, zo stelt Open Web Advocacy (OWA), een not-for-profit organisatie die uit software-engineers bestaat en zich inzet voor een open web. Een in-app browser wordt geladen wanneer een gebruiker een link in een niet-browser app opent. In plaats van dat de door de gebruiker ingestelde browser wordt geladen, openen in-app browsers een eigen venster voor het weergeven van de betreffende pagina.
"Wanneer je op een link van een third-party website klikt, negeren veel populaire apps je standaard browserkeuze en vervangen stilletjes je standaard browser met hun eigen in-app browser", aldus OWA. "Veel gebruikers, waarschijnlijk de meeste gebruikers, hebben niet door dat deze wissel heeft plaatsgevonden." En dat is volgens de software-engineers een probleem, omdat in-app browsers websites kunnen manipuleren en het gebruik hiervan kunnen bespioneren.
Zo bleek dat allerlei populaire apps, zoals Instagram, Facebook Messenger en Facebook, allemaal hun eigen JavaScript op websites injecteerden die via de in-app browser was geladen. In het geval van TikTok ging het zelfs om code die als een keylogger kon worden aangemerkt, zo laat OWA weten. "In-app browsers concurreren niet als browsers. De meeste gebruikers hebben niet door dat ze aan hen worden opgedrongen. Ze zijn ook niet bekend met de kwaliteits-, beveiligings- en privacyrisico's die hiermee samenhangen. In-app browsers opereren in een vacuüm, ongevoelig voor competitieve druk om te verbeteren."
De oplossing is volgens OWA eenvoudig, namelijk het respecteren van de keuze van gebruikers. Zodra een gebruiker binnen een app op een link klikt, moet de standaard ingestelde browser voor het systeem worden geladen. "De inbreuk van in-app browsers, samen met een groot aantal bugs, ontbrekende features en ernstige privacy- en databeschermingszorgen die ze introduceren, moeten worden aangepakt", zo gaan de software-engineers verder. Die doen zes aanbevelingen om de keuze van gebruikers te respecteren en kijken naar de Digital Markets Act om dit te handhaven.
Oplossing simpel maar daar denken Facebook en consorten over.
Die hebben namelijk andere belangen.
Het is vooral vervelend om te zien dat de InApp browsers vaak niet goed werken. Die van X op iOS toont sinds kort altijd heel kort dat er een fout is opgetreden (vast een analytics frame van hunzelf die ze vergeten zijn weg te halen) en vergeet altijd alle cookies.
Of de bank apps niet meer binnen de app de website bezoeken, maar dit weer aan een browser over laten?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
