TikTokのアプリ内ブラウザはユーザーのキーストロークを追跡できる：研究

独立したサイバーセキュリティ研究者は、中国のショートフォーム動画アプリTikTokが、iOSのカスタムアプリ内ブラウザを通じて開かれるすべてのリンクにJavaScriptコードを注入し、ウェブページ上のすべてのキーストロークを追跡できると警告しています。

この発見をしたのは、Googleに5年前に買収されたアプリテスト会社Fastlaneの創設者であるフェリックス・クラウゼ氏です。彼は、ユーザーがTikTokのiOSアプリで任意のリンクを開くと、それはアプリ内ブラウザ内で開かれると述べています。

「ウェブサイトと対話している間、TikTokはすべてのキーボード入力（パスワード、クレジットカード情報などを含む）と、どのボタンやリンクをクリックしたかなど、画面上のすべてのタップを購読します」と、クラウゼ氏は発見を詳細に説明したブログ投稿で警告しています。

TikTokのiOSは、ソーシャルメディアアプリ内でレンダリングされるサードパーティのウェブサイトで発生するすべてのキーストローク（テキスト入力）を購読します。これには、パスワード、クレジットカード情報、その他の敏感なユーザーデータ（keypressおよびkeydown）が含まれる可能性があります。

技術的な観点から、これはサードパーティのウェブサイトにキーロガーをインストールすることと同等であるとクラウゼ氏は述べています。

「これは会社が行った積極的な選択でした。これは非自明なエンジニアリングタスクです。これは偶然やランダムに起こることではありません」と彼は付け加えました。

TikTokのiOSは、TikTokアプリ内でレンダリングされるウェブサイト上の任意のボタン、リンク、画像、またはその他のコンポーネントのすべてのタップを購読します。ユーザーがクリックした要素の詳細を取得するためにJavaScript関数を使用します（document.elementFromPoint）。

しかし、クラウゼ氏は、彼がTikTokがアプリ内ブラウザで表示されるサードパーティサイトでユーザーが行うすべてのキーストロークを購読していることを発見したからといって、それが「悪意のある何か」を行っていることを必ずしも意味するわけではないと慎重に指摘しています。彼は、キーストロークがTikTokによって積極的に追跡されているかどうか、またそのデータがTikTokに送信されているかどうかを判断できなかったからです。

潜在的な追跡を避けるために、研究者は可能であれば、iPhoneやiPadのSafari、またはAndroidデバイスを使用している場合はChromeなど、プラットフォームのデフォルトブラウザでリンクを開くことを推奨しています。

「任意のアプリからリンクを開くときは、そのアプリが現在表示されているウェブサイトをデフォルトブラウザで開く方法を提供しているかどうかを確認してください」とクラウゼ氏は書いています。「この分析中、TikTok以外のすべてのアプリがこれを行う方法を提供していました。」

TikTokの広報担当者は、問題のJavaScriptコードを認めましたが、同社がiOSアプリのアプリ内ブラウザでそれを使用していることを否定しました。

広報担当者は、クラウゼ氏がアプリについて「不正確で誤解を招く」発言をしていると非難し、問題のJavaScriptコードはデバッグ、トラブルシューティング、およびパフォーマンス監視のためのみに使用されていると付け加えました。

「研究者は特に、JavaScriptコードが私たちのアプリが悪意のある何かを行っていることを意味しないと言っており、私たちのアプリ内ブラウザが収集するデータの種類を知る方法がないことを認めています」と広報担当者は述べました。

「報告の主張に反して、私たちはこのコードを通じてキーストロークやテキスト入力を収集しておらず、これはデバッグ、トラブルシューティング、およびパフォーマンス監視のためのみに使用されています。」

同社は、このコードがアプリで使用されるサードパーティのソフトウェア開発キット（SDK）の一部であり、TikTokが使用していない機能を含んでいると付け加えました。

TikTok以外にも、クラウゼ氏はMeta（InstagramおよびFacebookの所有者）などの企業によるアプリ内ブラウザのデータ収集を精査しています。Metaの広報担当者はツイートで、同社が「私たちのプラットフォームで人々のアプリ追跡透明性（ATT）の選択を尊重するためにこのコードを意図的に開発した」と述べました。