O Navegador In-App do TikTok Pode Rastrear as Teclas Digitadas dos Usuários: Pesquisa

Um pesquisador independente de cibersegurança alertou que o aplicativo de vídeo de formato curto chinês, TikTok, supostamente injeta código JavaScript em todos os links abertos através de seu navegador in-app personalizado no iOS, que pode rastrear todas as teclas digitadas em uma página da web.

O pesquisador, Felix Krause, fundador da empresa de testes de aplicativos Fastlane, que foi adquirida pelo Google há cinco anos, que descobriu as constatações, disse que quando o usuário abre qualquer link no aplicativo TikTok iOS, ele é aberto dentro de seu navegador in-app.

“Enquanto você interage com o site, o TikTok se inscreve em todas as entradas do teclado (incluindo senhas, informações de cartão de crédito, etc.) e em cada toque na tela, como quais botões e links você clica”, alerta Krause em um post no blog detalhando as constatações.

O TikTok iOS se inscreve em cada tecla digitada (entradas de texto) que acontece em sites de terceiros, que são renderizados dentro do aplicativo de mídia social, acrescentou. Isso pode incluir senhas, informações de cartão de crédito e outros dados sensíveis do usuário (keypress e keydown).

De uma perspectiva técnica, isso é equivalente a instalar um keylogger em sites de terceiros, disse Krause.

“Essa foi uma escolha ativa que a empresa fez. Essa é uma tarefa de engenharia não trivial. Isso não acontece por engano ou aleatoriamente”, acrescentou.

O TikTok iOS se inscreve em cada toque em qualquer botão, link, imagem ou outros componentes em sites renderizados dentro do aplicativo TikTok. Ele usa uma função JavaScript para obter detalhes sobre o elemento que o usuário clicou, como uma imagem (document.elementFromPoint).

Krause, no entanto, aponta cuidadosamente que só porque ele descobriu que o TikTok está se inscrevendo em cada tecla digitada que um usuário faz em sites de terceiros visualizados dentro de seu navegador in-app, isso não significa necessariamente que está fazendo “algo malicioso” com o acesso – já que ele não conseguiu determinar se as teclas estavam sendo ativamente rastreadas pelo TikTok e se os dados estavam sendo enviados para o TikTok.

Para evitar rastreamento potencial, o pesquisador recomenda abrir links no navegador padrão da plataforma, se possível, como o Safari no iPhone e iPad ou Chrome, se você estiver usando um dispositivo Android.

“Sempre que você abrir um link de qualquer aplicativo, veja se o aplicativo oferece uma maneira de abrir o site atualmente exibido em seu navegador padrão”, escreveu Krause. “Durante esta análise, todos os aplicativos, exceto o TikTok, ofereceram uma maneira de fazer isso.”

Enquanto um porta-voz do TikTok reconheceu o código JavaScript em questão, mas negou que a empresa o esteja usando em seu navegador in-app no aplicativo iOS.

O porta-voz acusou Krause de fazer declarações “incorretas e enganosas” sobre o aplicativo e acrescentou que o código JavaScript em questão é usado exclusivamente para depuração, solução de problemas e monitoramento de desempenho.

“O pesquisador diz especificamente que o código JavaScript não significa que nosso aplicativo está fazendo algo malicioso e admite que não tem como saber que tipo de dados nosso navegador in-app coleta”, disse o porta-voz.

“Contrariamente às alegações do relatório, não coletamos entradas de teclas ou de texto através deste código, que é usado exclusivamente para depuração, solução de problemas e monitoramento de desempenho.”

A empresa acrescentou que o código faz parte de um kit de desenvolvimento de software de terceiros, ou SDK, usado por seu aplicativo, e inclui recursos que o TikTok não utiliza.

Além do TikTok, Krause também analisou a coleta de dados do navegador in-app por empresas como Meta, proprietária do Instagram e Facebook. Em um tweet, um porta-voz da Meta disse que a empresa “desenvolveu intencionalmente este código para honrar as escolhas de Transparência de Rastreamento de Aplicativos (ATT) das pessoas em nossas plataformas.”