Персонализираният браузър в приложението на TikTok за iOS инжектира JavaScript код във външни уебсайтове, което позволява на TikTok да наблюдава „всички въвеждания и докосвания от клавиатурата“, докато потребителят взаимодейства с даден уебсайт, твърди изследователя по сигурността Феликс Краузе, но TikTok отрече това кодът се използва за злонамерени цели.
Краузе каза, че браузърът в приложението на TikTok се „абонира“ за всички въвеждания от клавиатурата, докато потребителят взаимодейства с външен уебсайт, включително всякакви чувствителни подробности като пароли и информация за кредитни карти заедно с всяко докосване на екрана.
„От техническа гледна точка това е еквивалентно на инсталиране на кийлогър на уебсайтове на трети страни“, пише Краузе по отношение на JavaScript кода, който TikTok инжектира. Изследователят обаче добави, че „само защото дадено приложение инжектира JavaScript във външни уебсайтове, не означава, че приложението прави нещо злонамерено“.
В изявление, споделено с Forbes, говорител на TikTok призна за въпросния JavaScript код, но каза, че той се използва само за отстраняване на грешки, поправяне на неизправности и мониторинг на производителността, за да се осигури „оптимално потребителско изживяване“.
„Подобно на други платформи, ние използваме браузър в приложението, за да осигурим оптимално потребителско изживяване, но въпросният Javascript код се използва само за отстраняване на грешки, отстраняване на неизправности и мониторинг на ефективността на това изживяване – като проверка колко бързо се зарежда страница или дали се срива“, се казва в изявлението според Forbes.
Краузе казва, че потребителите, които желаят да се защитят от потенциално злонамерено използване на JavaScript код в браузъри в приложения, трябва да превключат към гледане на дадена връзка в браузъра по подразбиране на платформата, ако е възможно, като Safari на iPhone и iPad.
„Винаги когато отворите връзка от което и да е приложение, вижте дали приложението предлага начин за отваряне на показвания в момента уебсайт във вашия браузър по подразбиране“, пише Краузе. „По време на този анализ всяко приложение освен TikTok предложи начин да направи това.“
Facebook и Instagram са две други приложения, които вмъкват JavaScript код във външни уебсайтове, заредени в техните браузъри в приложенията, давайки на приложенията възможност да проследяват активността на потребителите, според Краузе. В пост говорител на компанията майка на Facebook и Instagram Meta каза, че компанията „умишлено е разработила този код, за да уважи избора на хората за прозрачност за проследяване на приложения (ATT) на нашите платформи“.
Краузе каза, че е създал прост инструмент, който позволява на всеки да провери дали браузър в приложението инжектира JavaScript код, когато изобразява уебсайт. Изследователят добавя, че потребителите просто трябва да отворят приложение, което искат да анализират, да споделят адреса InAppBrowser.com някъде в приложението (например в директно съобщение до друг човек), да докоснат връзката в приложението, за да го отворят в браузъра на приложението и да прочетат подробностите за показания отчет.
Снимка: Unsplash
Виж още: Дали смартфоните ще успеят да изпратят DSLR в забвение?