틱톡의 인앱 브라우저는 사용자의 키 입력을 추적할 수 있습니다: 연구

독립적인 사이버 보안 연구원이 중국의 짧은 형식 비디오 앱인 틱톡이 iOS의 맞춤형 인앱 브라우저를 통해 열리는 모든 링크에 JavaScript 코드를 주입하여 웹페이지에서 모든 키 입력을 추적할 수 있다고 경고했습니다.

연구원인 펠릭스 크라우스(Felix Krause)는 구글에 인수된 앱 테스트 회사인 패스트레인(Fastlane)의 창립자로, 사용자가 틱톡 iOS 앱에서 링크를 열면 인앱 브라우저 내에서 열리게 된다고 밝혔습니다.

“웹사이트와 상호작용하는 동안 틱톡은 모든 키보드 입력(비밀번호, 신용 카드 정보 등 포함)과 화면에서의 모든 탭, 즉 클릭한 버튼과 링크를 구독합니다.”라고 크라우스는 연구 결과를 자세히 설명하는 블로그 게시물에서 경고했습니다.

틱톡 iOS는 소셜 미디어 앱 내에서 렌더링되는 제3자 웹사이트에서 발생하는 모든 키 입력(텍스트 입력)을 구독합니다. 여기에는 비밀번호, 신용 카드 정보 및 기타 민감한 사용자 데이터(keypress 및 keydown)가 포함될 수 있습니다.

기술적인 관점에서 볼 때, 이는 제3자 웹사이트에 키로거를 설치하는 것과 동등하다고 크라우스는 말했습니다.

“이는 회사가 내린 적극적인 선택이었습니다. 이는 사소한 엔지니어링 작업이 아닙니다. 이는 실수나 무작위로 발생하지 않습니다.”라고 그는 덧붙였습니다.

틱톡 iOS는 틱톡 앱 내에서 렌더링된 웹사이트의 버튼, 링크, 이미지 또는 기타 구성 요소에서 발생하는 모든 탭을 구독합니다. 사용자가 클릭한 요소에 대한 세부 정보를 얻기 위해 JavaScript 함수를 사용합니다(예: document.elementFromPoint).

그러나 크라우스는 틱톡이 인앱 브라우저 내에서 제3자 사이트에서 사용자가 만드는 모든 키 입력을 구독하고 있다는 사실을 발견했다고 해서 반드시 “악의적인” 행동을 하고 있다는 의미는 아니라고 신중하게 지적했습니다. 그는 틱톡이 키 입력을 적극적으로 추적하고 있는지, 데이터가 틱톡으로 전송되고 있는지 여부를 확인할 수 없었습니다.

잠재적인 추적을 피하기 위해 연구원은 가능한 경우 플랫폼의 기본 브라우저(예: iPhone 및 iPad의 Safari 또는 Android 기기의 Chrome)에서 링크를 여는 것을 권장합니다.

“모든 앱에서 링크를 열 때, 현재 표시된 웹사이트를 기본 브라우저에서 열 수 있는 방법이 있는지 확인하세요.”라고 크라우스는 썼습니다. “이 분석 동안 틱톡을 제외한 모든 앱이 이를 수행할 수 있는 방법을 제공했습니다.”

틱톡 대변인은 문제의 JavaScript 코드를 인정했지만 회사가 iOS 앱의 인앱 브라우저에서 이를 사용하고 있다고 부인했습니다.

대변인은 크라우스가 앱에 대해 “부정확하고 오해의 소지가 있는” 발언을 했다고 비난하며, 문제의 JavaScript 코드는 오로지 디버깅, 문제 해결 및 성능 모니터링을 위해 사용된다고 덧붙였습니다.

“연구원은 특히 JavaScript 코드가 우리 앱이 악의적인 행동을 하고 있다는 것을 의미하지 않으며, 인앱 브라우저가 수집하는 데이터의 종류를 알 방법이 없다고 인정합니다.”라고 대변인은 말했습니다.

“보고서의 주장과는 달리, 우리는 이 코드를 통해 키 입력이나 텍스트 입력을 수집하지 않으며, 이는 오로지 디버깅, 문제 해결 및 성능 모니터링에 사용됩니다.”

회사는 이 코드가 자사의 앱에서 사용되는 제3자 소프트웨어 개발 키트(SDK)의 일부이며, 틱톡이 사용하지 않는 기능을 포함하고 있다고 덧붙였습니다.

틱톡 외에도 크라우스는 메타(Meta)와 같은 회사의 인앱 브라우저 데이터 수집도 조사했습니다. 메타의 대변인은 트윗에서 회사가 “우리 플랫폼에서 사람들의 앱 추적 투명성(ATT) 선택을 존중하기 위해 이 코드를 의도적으로 개발했다”고 말했습니다.