Nowe badania pokazują, że TikTok może śledzić każde kliknięcie użytkowników podczas odwiedzania innych witryn za pośrednictwem aplikacji TikTok na iOS.

TikTok ma możliwość śledzenia każdego kliknięcia na ekranie podczas przeglądania w swojej aplikacji na iOS, w tym wpisywania haseł i klikanych linków, zgodnie z nowym. Badania przeprowadzone przez inżyniera oprogramowania Felixa Krause.

Przeglądanie w aplikacji odnosi się do wszelkiej aktywności na stronach internetowych innych firm, które otwierają się w aplikacji, a nie w oknie zewnętrznym.

W czwartek Krause opublikował raport badający kod JavaScript, że platformy mediów społecznościowych są wstrzykiwane do witryn stron trzecich, które pozwalają im śledzić aktywność użytkowników.

Narzędzie bezpieczeństwa Krause’a, InAppBrowser.com, ujawniło plik TIK Tok Aplikacja na iOS ma możliwość monitorowania wszystkich naciśnięć klawiszy, wpisów tekstowych i stuknięć ekranu, które mogą zawierać poufne dane osobowe, takie jak informacje o karcie kredytowej i hasła.

Jednak Krause zauważył, że „tylko dlatego, że aplikacja wstrzykuje JavaScript do zewnętrznych witryn internetowych, nie oznacza, że ​​aplikacja robi coś złośliwego”.

„Nie ma możliwości, abyśmy poznali wszystkie szczegóły dotyczące rodzaju danych gromadzonych przez każdą przeglądarkę w aplikacji ani tego, w jaki sposób – lub czy – dane są przesyłane lub wykorzystywane” – powiedział.

Zbieranie informacji o naciśnięciach klawiszy jest bardzo podobne do zachowania keyloggera, rodzaju złośliwego oprogramowania, powiedział Priyadarsi Nanda z School of Electrical and Data Engineering na University of Technology w Sydney.

„Którąkolwiek witrynę odwiedzasz, wymaga to twojego wkładu” – powiedział. „Jest to zdecydowanie problem dla każdej aplikacji, której nie ufasz”.

Rzecznik TikTok powiedział Guardian Australia, że ​​„wnioski raportu dotyczące TikTok są błędne i mylące”.

„Badacz wyraźnie twierdzi, że kod JavaScript nie oznacza, że ​​nasza aplikacja robi coś złośliwego i przyznaje, że nie ma możliwości dowiedzenia się, jakie dane nasza przeglądarka gromadzi w aplikacji” – powiedział rzecznik.

„Wbrew twierdzeniom zawartym w raporcie nie gromadzimy naciśnięć klawiszy ani wpisów tekstowych za pomocą tego kodu, który jest używany tylko do debugowania, rozwiązywania problemów i monitorowania wydajności”.

Oprócz TikTok, Krause ocenił aplikacje na iOS pod kątem Instagramoraz Facebook, Facebook Messenger, Amazon, Snapchat i Robinhood. TikTok był jedyną aplikacją, która nie oferowała użytkownikom opcji przełączania z przeglądania w aplikacji na przeglądarkę zewnętrzną podczas uzyskiwania dostępu do witryn innych firm.

„TikTok miał najbardziej wszechstronne możliwości monitorowania” — powiedział Yuri Gal, profesor systemów informacji biznesowej na Uniwersytecie w Sydney.

„Wiele osób, które korzystają z aplikacji, nie zdaje sobie sprawy z monitorowania ich wewnątrz [it]. Baza użytkowników TikTok jest znacznie mniejsza niż baza użytkowników Facebooka i Instagrama… co czyni je bardziej podatnymi na ataki. „

Gal powiedział, że TikTok „przedstawia inny rodzaj ryzyka” ze względu na spółkę macierzystą ByteDance. podejrzane relacje Komunistycznej Partii Chin.

Powiedział, że funkcja nadzoru może zostać wykorzystana do „zbierania jak największej ilości informacji na potrzeby szpiegostwa przemysłowego i do kształtowania opinii publicznej, która jest bardziej zgodna z ich interesami”.

a Raport opublikowany przez australijsko-amerykańską firmę zajmującą się cyberbezpieczeństwem Internet 2.0 w lipcu, ostrzegał, że chiński rząd może korzystać z aplikacji. Zbieranie danych osobowychOd wiadomości w aplikacji po lokalizacje urządzeń.

ByteDance zaprzeczył jakimkolwiek relacjom z chińskim rządem w przeszłości i Prokuratura nazwała to „dezinformacją”. Po różnych przeciekach zasugerował to materiały kontrolne Nie zgadza się z celami chińskiej polityki zagranicznej ani nie wspomina o stanie praw człowieka w tym kraju.

Badania Krause’a wykazały, że Instagram ma również możliwość śledzenia kliknięć na ekranie, na przykład gdy użytkownicy klikają zdjęcie.

„Podczas korzystania z przeglądarek w aplikacji występują problemy z prywatnością i integralnością danych… takie jak sposób, w jaki Instagram i TikTok wyświetlają wszystkie zewnętrzne witryny w aplikacji” – napisał Krause w raporcie.

Gal powiedział, że praktyki Instagrama i Facebooka są prawie tak szerokie, jak TikTok.

„Ich główna motywacja jest prawie czysto komercyjna i finansowa, podczas gdy w TikTok istnieje element bezpieczeństwa narodowego, który moim zdaniem nie jest bezpośrednio obecny w innych”.

rzecznik prasowy firmy macierzystej Instagrama, nie żyjePrzeglądarki internetowe w aplikacji są popularne w całej branży.

„W Meta używamy przeglądarek w aplikacji, aby zapewnić bezpieczne, wygodne i niezawodne doświadczenia, takie jak upewnianie się, że autouzupełniania są poprawnie wypełniane lub zapobieganie przekierowywaniu ludzi na złośliwe witryny” – powiedział rzecznik.

„Dodanie dowolnego z tego typu funkcji wymaga dodatkowego kodu. Starannie zaprojektowaliśmy te doświadczenia, aby szanować wybory dotyczące prywatności użytkowników, w tym sposób wykorzystywania danych w reklamach”.

W oświadczeniu TikTok zawartym w raporcie Krause, rzeczniczka Maureen Shanahan powiedziała: „Podobnie jak inne platformy, używamy przeglądarki w aplikacji, aby zapewnić optymalne wrażenia użytkownika. …jak sprawdzanie szybkości wczytywania strony lub czy się zawiesza”.

Nanda powiedział, że platformy mediów społecznościowych nie ujawniają, ile danych osobowych pozostawiła firma ani czy są one udostępniane stronom trzecim.

„Mogą przekazywać te informacje zewnętrznym dostawcom usług, co ma kluczowe znaczenie w przeprowadzaniu wszelkiego rodzaju wyrafinowanych ataków”, powiedział Nanda, odnosząc się do hacków, które kradną dane, takie jak informacje o kartach kredytowych, oraz ataków złośliwego oprogramowania, które zamrażają komputery lub blokują pliki. . „To jest prawdziwe niebezpieczeństwo”.