TikTok отслеживает действия пользователей. В соцсети утверждают, что не делают ничего плохого

Исследователь безопасности Феликс Краузе установил, что встроенный в приложение браузер TikTok для iOS вводит код JavaScript на внешние веб-сайты, что позволяет TikTok отслеживать «все вводы с клавиатуры и нажатия», когда пользователь взаимодействует с данным веб-сайтом. Это также касается и конфиденциальных данных, таких как пароли и данные кредитных карт. Об этом MC.today сообщает со ссылкой на MacRumors.

TikTok имеет возможность отслеживать эту активность с помощью встроенного в приложение браузера компании, который является частью самого приложения. Когда люди нажимают на рекламу TikTok или посещают ссылки в профиле создателя, приложение не открывает страницу в обычных браузерах, таких как Safari или Chrome. Вместо этого по умолчанию используется встроенный в приложение браузер TikTok, который может переписывать части веб-страниц.

Краузе рассказал, что встроенный в приложение TikTok браузер «подписывается» на все вводы с клавиатуры, когда пользователь взаимодействует с другими сайтами, включая любые конфиденциальные данные, такие как пароли и данные кредитной карты, а также каждое нажатие на экран.

«С технической точки зрения это эквивалентно установке кейлоггера на сторонние веб-сайты», — написал Краузе в отношении кода JavaScript, который внедряет TikTok. Однако исследователь добавил, что «то, что приложение внедряет JavaScript на внешние веб-сайты, не означает, что приложение делает что-то злонамеренное».

Представитель TikTok признал наличие кода JavaScript, но сказал, что он используется только для отладки, устранения неполадок и мониторинга производительности.

«Как и на других платформах, мы используем встроенный в приложение браузер для обеспечения оптимального взаимодействия с пользователем, но рассматриваемый код Javascript используется только для отладки, устранения неполадок и мониторинга производительности — например, для проверки скорости загрузки страницы или ее сбоя».

Краузе сказал, что пользователи, которые хотят защитить себя от любого потенциального злонамеренного использования кода JavaScript в браузере приложения, должны по возможности переключиться на просмотр ссылки в браузере платформы по умолчанию, таком как Safari на iPhone и iPad.

«Всякий раз, когда вы открываете ссылку из любого приложения, посмотрите, предлагает ли приложение способ открыть отображаемый в данный момент веб-сайт в браузере по умолчанию. Во время этого анализа каждое приложение, кроме TikTok, предлагало способ сделать это».

Он сказал, что создал простой инструмент, который позволяет пользователю проверить, вводит ли браузер в приложении код JavaScript при рендеринге веб-сайта. Исследователь сказал, что пользователям просто нужно открыть приложение, которое они хотят проанализировать, поделиться адресом InAppBrowser.com где-то внутри приложения (например, в прямом сообщении другому человеку), нажать на ссылку внутри приложения, чтобы открыть его в -app браузер и прочитать детали показанного отчета.

Apple пока никак не прокомментировала сбор данных приложением.