El navegador dentro de la aplicación de TikTok puede rastrear las pulsaciones de teclas de los usuarios: investigación

Un investigador independiente en ciberseguridad ha advertido que la aplicación china de videos cortos, TikTok, supuestamente inyecta código JavaScript en todos y cada uno de los enlaces abiertos a través de su navegador personalizado dentro de la aplicación en iOS, lo que puede rastrear todas las pulsaciones de teclas en una página web.

El investigador, Felix Krause, fundador de la empresa de pruebas de aplicaciones Fastlane, que fue adquirida por Google hace cinco años, quien descubrió los hallazgos, dijo que cuando el usuario abre cualquier enlace en la aplicación de TikTok para iOS, se abre dentro de su navegador dentro de la aplicación.

“Mientras interactúas con el sitio web, TikTok se suscribe a todas las entradas del teclado (incluyendo contraseñas, información de tarjetas de crédito, etc.) y cada toque en la pantalla, como qué botones y enlaces haces clic”, advierte Krause en una publicación de blog que detalla los hallazgos.

TikTok para iOS se suscribe a cada pulsación de tecla (entradas de texto) que ocurre en sitios web de terceros, que se renderizan dentro de la aplicación de redes sociales, añadió. Esto puede incluir contraseñas, información de tarjetas de crédito y otros datos sensibles del usuario (keypress y keydown).

Desde una perspectiva técnica, esto es equivalente a instalar un keylogger en sitios web de terceros, dijo Krause.

“Esta fue una elección activa que la empresa hizo. Esta es una tarea de ingeniería no trivial. Esto no sucede por error o aleatoriamente”, añadió.

TikTok para iOS se suscribe a cada toque en cualquier botón, enlace, imagen u otros componentes en sitios web renderizados dentro de la aplicación TikTok. Utiliza una función de JavaScript para obtener detalles sobre el elemento en el que el usuario hizo clic, como una imagen (document.elementFromPoint).

Krause, sin embargo, señala cuidadosamente que solo porque ha descubierto que TikTok se suscribe a cada pulsación de tecla que un usuario hace en sitios de terceros vistos dentro de su navegador dentro de la aplicación, no significa necesariamente que esté haciendo “algo malicioso” con el acceso, ya que no pudo determinar si las pulsaciones de teclas estaban siendo rastreadas activamente por TikTok y si los datos estaban siendo enviados a TikTok.

Para evitar el posible rastreo, el investigador recomienda abrir enlaces en el navegador predeterminado de la plataforma si es posible, como Safari en el iPhone y iPad o Chrome, si estás usando un dispositivo Android.

“Siempre que abras un enlace desde cualquier aplicación, verifica si la aplicación ofrece una forma de abrir el sitio web actualmente mostrado en tu navegador predeterminado”, escribió Krause. “Durante este análisis, cada aplicación además de TikTok ofreció una forma de hacer esto.”

Mientras un portavoz de TikTok reconoció el código JavaScript en cuestión, negó que la empresa lo esté utilizando en su navegador dentro de la aplicación en la aplicación para iOS.

El portavoz acusó a Krause de hacer declaraciones “incorrectas y engañosas” sobre la aplicación y añadió que el código JavaScript en cuestión se utiliza únicamente para depuración, solución de problemas y monitoreo del rendimiento.

“El investigador dice específicamente que el código JavaScript no significa que nuestra aplicación esté haciendo nada malicioso, y admite que no tiene forma de saber qué tipo de datos recopila nuestro navegador dentro de la aplicación”, dijo el portavoz.

“Contrario a las afirmaciones del informe, no recopilamos pulsaciones de teclas ni entradas de texto a través de este código, que se utiliza únicamente para depuración, solución de problemas y monitoreo del rendimiento.”

La empresa añadió que el código es parte de un kit de desarrollo de software de terceros, o SDK, utilizado por su aplicación, e incluye características que TikTok no utiliza.

Además de TikTok, Krause también ha examinado la recopilación de datos del navegador dentro de la aplicación por parte de empresas como Meta, el propietario de Instagram y Facebook. En un tweet, un portavoz de Meta dijo que la empresa “desarrolló intencionalmente este código para honrar las elecciones de Transparencia de Seguimiento de Aplicaciones (ATT) de las personas en nuestras plataformas.”