Встроенный браузер TikTok может отслеживать нажатия клавиш пользователей: Исследование

Независимый исследователь в области кибербезопасности предупредил, что китайское приложение для коротких видео TikTok, как сообщается, внедряет код JavaScript в любые ссылки, открываемые через его встроенный браузер на iOS, что может отслеживать все нажатия клавиш на веб-странице.

Исследователь, Феликс Крауз, основатель компании по тестированию приложений Fastlane, которую Google приобрел пять лет назад, который обнаружил эти данные, сказал, что когда пользователь открывает любую ссылку в приложении TikTok на iOS, она открывается внутри их встроенного браузера.

“Пока вы взаимодействуете с веб-сайтом, TikTok подписывается на все вводимые данные с клавиатуры (включая пароли, информацию о кредитных картах и т. д.) и каждое нажатие на экране, например, на какие кнопки и ссылки вы нажимаете,” предупреждает Крауз в блоге, подробно описывающем результаты.

TikTok на iOS подписывается на каждое нажатие клавиши (ввод текста), происходящее на сторонних веб-сайтах, которые отображаются внутри приложения социальной сети, добавил он. Это может включать пароли, информацию о кредитных картах и другие чувствительные данные пользователей (keypress и keydown).

С технической точки зрения, это эквивалентно установке кейлоггера на сторонних веб-сайтах, сказал Крауз.

“Это был активный выбор, который сделала компания. Это нетривиальная инженерная задача. Это не происходит случайно или по ошибке,” добавил он.

TikTok на iOS подписывается на каждое нажатие на любую кнопку, ссылку, изображение или другие компоненты на веб-сайтах, отображаемых внутри приложения TikTok. Он использует функцию JavaScript для получения деталей о элементе, на который пользователь нажал, например, изображении (document.elementFromPoint).

Крауз, однако, осторожно указывает, что только потому, что он обнаружил, что TikTok подписывается на каждое нажатие клавиши, которое пользователь делает на сторонних сайтах, просматриваемых внутри его встроенного браузера, это не обязательно означает, что он делает “что-то злонамеренное” с доступом – так как ему не удалось определить, отслеживаются ли нажатия клавиш TikTok и отправляются ли данные в TikTok.

Чтобы избежать потенциального отслеживания, исследователь рекомендует открывать ссылки в браузере по умолчанию, если это возможно, например, Safari на iPhone и iPad или Chrome, если вы используете устройство на Android.

“Каждый раз, когда вы открываете ссылку из любого приложения, посмотрите, предлагает ли приложение способ открыть текущий веб-сайт в вашем браузере по умолчанию,” написал Крауз. “Во время этого анализа каждое приложение, кроме TikTok, предложило способ сделать это.”

Хотя представитель TikTok признал наличие обсуждаемого кода JavaScript, он отказался от утверждения, что компания использует его в своем встроенном браузере на приложении iOS.

Представитель обвинил Крауза в том, что он делает “неправильные и вводящие в заблуждение” заявления о приложении и добавил, что обсуждаемый код JavaScript используется исключительно для отладки, устранения неполадок и мониторинга производительности.

“Исследователь конкретно говорит, что код JavaScript не означает, что наше приложение делает что-то злонамеренное, и признает, что у них нет способа узнать, какие данные собирает наш встроенный браузер,” сказал представитель.

“Вопреки утверждениям отчета, мы не собираем нажатия клавиш или ввод текста через этот код, который используется исключительно для отладки, устранения неполадок и мониторинга производительности.”

Компания добавила, что код является частью набора средств разработки программного обеспечения третьей стороны, или SDK, используемого ее приложением, и включает функции, которые TikTok не использует.

Кроме TikTok, Крауз также изучил сбор данных встроенного браузера другими компаниями, такими как Meta, владельцем Instagram и Facebook. В твите представитель Meta сказал, что компания “умышленно разработала этот код, чтобы уважать выбор людей в отношении прозрачности отслеживания приложений (ATT) на наших платформах.”