-
틱톡 인앱 브라우저, 개인정보 탈취 가능성 제기 - 카톡은 어떨까?IT 분야/모바일 2022. 8. 20. 22:58
중국산 소셜 앱 틱톡은 언제나 개인정보와 보안 관련 이슈를 달고 살죠? 출시 초기부터 줄기차게 그 문제가 나왔었는데, 의외로 정말 많은 사람들이 의식하지 않고 사용하고 있습니다.
틱톡, 내 핸드폰 개인정보 싹쓸이 한다? (tistory.com)
틱톡, 내 핸드폰 개인정보 싹쓸이 한다?
인스타그램이나 유튜브와 함께 정말 많은 사람들이 사용하는 앱 중 하나가 바로 틱톡일 겁니다. 틱톡은 중국업체가 만든 앱이고 출시 초기부터 개인정보 관련해서 논란이 끊이질 않았는데, 이
frederick.tistory.com
그런데 이번에는 좀 다른 형태로 사용자의 이용 패턴을 훔쳐볼 수 있다는 주장이 제기 됐습니다. 문제는 인앱 브라우저였습니다.
인앱 브라우저가 뭔가요?
우리가 핸드폰에서 인터넷을 할 때 브라우저를 사용합니다. 인터넷 웹서핑을 가능하게 만들어 주는 앱을 브라우저라고 하는데, 마이크로소프트 엣지, 구글 크롬, 삼성 인터넷, 애플 사파리, 모질라 파이어폭스 이런 것들이 그에 해당합니다.
그런데 '인-앱 브라우저'라는 건 말 그대로 앱 안에 들어 있는 브라우저입니다. 예를 들어서 우리가 인스타그램을 보다가 광고 링크를 누르면, 원래 이용하던 인터넷 브라우저 앱이 열리는 게 아니라, 인스타그램 안에서 자체적으로 브라우저가 뜨잖아요?
혹은 카톡에서 링크를 터치하면 별도의 앱으로 뜨지 않고 카톡 내에서 인터넷 브라우저가 뜨잖아요? 이런 게 전부 앱 안에서 뜨는 브라우저, 즉, 인 앱 브라우저입니다.
틱톡 인앱 브라우저, 사용자 모니터링 의혹
그런데 틱톡 앱 내에서 인앱 브라우저를 열 경우, 사용자의 키 입력을 틱톡 측이 살펴볼 수 있다는 주장이 제기 됐습니다.
iOS Privacy: Announcing InAppBrowser.com - see what JavaScript commands get injected through an in-app browser · Felix Krause
Last week I published a report on the risks of mobile apps using in-app browsers. Some apps, like Instagram and Facebook, inject JavaScript code into third party websites that cause potential security and privacy risks to the user. I was so happy to see th
krausefx.com
인앱 브라우저 내에 키 입력을 모니터링 할 수 있는 자바스크립트가 들어가는지 여부를 검증할 수 있는 사이트가 있고, 이걸 만든 연구진이 틱톡 인앱 브라우저에서 해당 사이트를 열어보니 해당 자바스크립트가 삽입되어있다는 사실을 발견한 겁니다.
참고로 해당 주소는 https://inAppBrowser.com 으로 이 주소를 복사해다가 인앱 브라우저에 붙여넣기 하면 해당 페이지를 검증할 수 있습니다.
출처: https://krausefx.com/blog/announcing-inappbrowsercom-see-what-javascript-commands-get-executed-in-an-in-app-browser 문제가 있을 경우 위와 같이 빨간색으로 경고가 뜹니다. 위와 같은 페이지가 보이는 경우, 해당 인앱 브라우저는 사용자의 키 입력 내용을 살펴볼 수 있는 가능성이 있다는 말입니다.
그래서 직접 한번 테스트 해봤습니다. 카톡은 어떨까요?!
카톡 인앱 브라우저
이렇게 확인하실 수 있습니다.
먼저 카톡을 실행하고 첫화면 상단의 광고 배너를 터치해 보세요. 그러면 카톡 내에서 브라우저가 실행되고 광고 페이지가 보이게 되죠? 이때 상단의 주소 표시줄에, 앞서 말씀 드렸던 https://inappbrowser.com 을 복사해서 붙여넣기 하는 겁니다. 그리고 진행을 해보세요!
사용자의 키 입력을 추적할 수 있는 자바스크립트가 없는 경우 위의 페이지처럼 초록색으로 나오고, 문제가 있는 것으로 보일 때는 앞서 보신 것처럼 빨간색의 경고 페이지가 나옵니다.
같은 방식으로 인스타그램이나 페이스북, 트위터 등 어떤 형태로든 인앱 브라우저가 실행되는 경우 확인해 보실 수 있습니다.
추가로, 바로 위의 사진에서 제가 네모 박스로 해놓은 부분을 한번 봐주세요.
자동저장과 검색기록 부분이 있는데요, 개인정보보호 차원에서 검색기록은 전부 삭제하고, 자동저장도 꺼주시는 것이 좋습니다.
그 외에 개인정보와 보안에 관해서는 다음의 글들을 참조해 보시면 좋습니다!
[구글 도청?!] 구글, 맞춤형 광고 끄는 방법! (tistory.com)
[구글 도청?!] 구글, 맞춤형 광고 끄는 방법!
요즘은 개인정보가 돈이 되는 세상이죠? 특히 페이스북이나 페이스북 계열사인 인스타그램 그리고 구글의 경우, 사용자의 활동 정보를 바탕으로 맞춤형 광고를 제공함으로써 더 많은 수익을 내
frederick.tistory.com
[개인정보 보호] 인스타그램 맞춤 광고 줄이기 (tistory.com)
[개인정보 보호] 인스타그램 맞춤 광고 줄이기
페이스북과 페이스북의 계열사 인스타그램은 사용자 정보를 정말 많이 털어가는 서비스 중 하나죠. 그래서 개인적으로 페이스북은 아예 계정을 지워버리기도 했습니다. 스팸이 너무 많고, 쓸데
frederick.tistory.com
[아이폰, 아이패드] 페북 인스타, 웹페이지 열면 개인정보 싹쓸이? (tistory.com)
[아이폰, 아이패드] 페북 인스타, 웹페이지 열면 개인정보 싹쓸이?
아이폰, 아이패드 사용자 분들은 조심하셔야겠습니다. 아이폰에서 페이스북이나 인스타그램 이용시 광고를 터치하거나 혹은 어떤 식으로든 웹페이지로 연결되는 경우가 있을 텐데, 이때 페이
frederick.tistory.com
반응형'IT 분야 > 모바일' 카테고리의 다른 글
이번에는 진짜일까? 애플페이 + 애플카드 출시설 (0) 2022.08.30 갤럭시 S22 시리즈 정품 악세사리 마지막 할인! (0) 2022.08.23 [실사용기] 갤럭시 워치5, 무엇이 달라졌나 (0) 2022.08.19 갤럭시 폴드4, 플립4, 워치5 - 사전예약 혜택 신청 방법! (0) 2022.08.16 Over the Horizon, BTS 슈가 편곡 2022년판 공개 (0) 2022.08.15