Il browser in-app di TikTok può tracciare i tasti premuti dagli utenti: ricerca

Un ricercatore indipendente di cybersecurity ha avvertito che l’app cinese per video brevi, TikTok, inietta apparentemente codice JavaScript in tutti i link aperti tramite il suo browser in-app personalizzato su iOS, che può tracciare tutti i tasti premuti su una pagina web.

Il ricercatore, Felix Krause, fondatore della società di test delle app Fastlane, acquisita da Google cinque anni fa, ha scoperto che quando l’utente apre un link qualsiasi nell’app TikTok su iOS, questo viene aperto all’interno del loro browser in-app.

“Quando interagisci con il sito web, TikTok si iscrive a tutti gli input da tastiera (inclusi password, informazioni sulla carta di credito, ecc.) e ogni tocco sullo schermo, come quali pulsanti e link clicchi,” avverte Krause in un post sul blog che dettaglia i risultati.

TikTok iOS si iscrive a ogni tasto premuto (input di testo) che avviene su siti web di terze parti, che vengono visualizzati all’interno dell’app di social media, ha aggiunto. Questo può includere password, informazioni sulla carta di credito e altri dati sensibili degli utenti (keypress e keydown).

Da una prospettiva tecnica, questo è l’equivalente di installare un keylogger su siti web di terze parti, ha detto Krause.

“Questa è stata una scelta attiva fatta dall’azienda. Questo è un compito ingegneristico non banale. Non succede per errore o casualmente,” ha aggiunto.

TikTok iOS si iscrive a ogni tocco su qualsiasi pulsante, link, immagine o altri componenti sui siti web visualizzati all’interno dell’app TikTok. Utilizza una funzione JavaScript per ottenere dettagli sull’elemento su cui l’utente ha cliccato, come un’immagine (document.elementFromPoint).

Krause, tuttavia, sottolinea con attenzione che solo perché ha scoperto che TikTok si iscrive a ogni tasto premuto da un utente su siti di terze parti visualizzati all’interno del suo browser in-app, non significa necessariamente che stia facendo “qualcosa di malevolo” con l’accesso - poiché non è stato in grado di determinare se i tasti venissero attivamente tracciati da TikTok e se i dati venissero inviati a TikTok.

Per evitare potenziali tracciamenti, il ricercatore raccomanda di aprire i link nel browser predefinito della piattaforma se possibile, come Safari su iPhone e iPad o Chrome, se si utilizza un dispositivo Android.

“Ogni volta che apri un link da qualsiasi app, verifica se l’app offre un modo per aprire il sito web attualmente mostrato nel tuo browser predefinito,” ha scritto Krause. “Durante questa analisi, ogni app tranne TikTok ha offerto un modo per farlo.”

Sebbene un portavoce di TikTok abbia riconosciuto il codice JavaScript in questione, ha negato che l’azienda lo stia utilizzando nel suo browser in-app sull’app iOS.

Il portavoce ha accusato Krause di fare affermazioni “errate e fuorvianti” riguardo all’app e ha aggiunto che il codice JavaScript in questione è utilizzato esclusivamente per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni.

“Il ricercatore afferma specificamente che il codice JavaScript non significa che la nostra app stia facendo qualcosa di malevolo e ammette di non avere modo di sapere che tipo di dati raccoglie il nostro browser in-app,” ha detto il portavoce.

“Contrariamente alle affermazioni del rapporto, non raccogliamo tasti premuti o input di testo tramite questo codice, che è utilizzato esclusivamente per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni.”

L’azienda ha aggiunto che il codice fa parte di un kit di sviluppo software di terze parti, o SDK, utilizzato dalla sua app e include funzionalità che TikTok non utilizza.

Oltre a TikTok, Krause ha anche esaminato la raccolta di dati dai browser in-app da parte di aziende come Meta, proprietaria di Instagram e Facebook. In un tweet, un portavoce di Meta ha dichiarato che l’azienda “ha sviluppato intenzionalmente questo codice per rispettare le scelte di Trasparenza nel Tracciamento delle App (ATT) delle persone sulle nostre piattaforme.”