TikTok відстежує дії користувачів. У соцмережі стверджують, що не роблять нічого поганого

Дослідник безпеки Фелікс Краузе встановив, що вбудований у програму браузер TikTok для iOS вводить код JavaScript на зовнішні вебсайти, що дозволяє TikTok відстежувати «всі введення з клавіатури та натискання». Це також стосується і конфіденційних даних, таких як паролі та дані кредитних карток. Про це MC.today повідомляє з посиланням на MacRumors.

TikTok має можливість відстежувати цю активність за допомогою вбудованого в застосунок браузера, який є частиною програми. Коли люди натискають на рекламу TikTok або відвідують посилання у профілі автора, програма не відкриває сторінку у звичайних браузерах, таких як Safari або Chrome. Натомість за замовчанням використовується вбудований у програму браузер TikTok, який може переписувати частини вебсторінок.

Краузе розповів, що вбудований у програму TikTok браузер «підписується» на всі введення з клавіатури, коли користувач взаємодіє з іншими сайтами, включаючи будь-які конфіденційні дані, такі як паролі та дані кредитної картки, а також кожне натискання на екран.

«З технічної точки зору це еквівалентно встановленню кейлоггера на сторонні вебсайти», – написав Краузе щодо коду JavaScript, який впроваджує TikTok. Однак дослідник додав, що «те, що програма впроваджує JavaScript на зовнішні вебсайти, не означає, що програма робить щось зловмисне».

Представник TikTok визнав наявність коду JavaScript, але сказав, що він використовується лише для налагодження, усунення несправностей та моніторингу продуктивності.

«Як і на інших платформах, ми використовуємо вбудований в застосунок браузер для забезпечення оптимальної взаємодії з користувачем, але код Javascript, що розглядається, використовується тільки для налагодження, усунення несправностей і моніторингу продуктивності – наприклад, для перевірки швидкості завантаження сторінки або її збою».

Краузе сказав, що користувачі, які хочуть захистити себе від будь-якого потенційного зловмисного використання коду JavaScript у браузері програми, повинні за можливості перейти на перегляд посилання в браузері платформи за замовчуванням, наприклад Safari на iPhone та iPad.

«Щоразу, коли ви відкриваєте посилання з будь-якої програми, подивіться, чи пропонує програма спосіб відкрити  вебсайт у браузері за замовчуванням. Під час цього аналізу кожен застосунок, окрім TikTok, пропонував зробити це».

Він сказав, що створив простий інструмент, який дозволяє користувачеві перевірити, чи вводить браузер у застосунку код JavaScript під час рендерингу вебсайту. Дослідник сказав, що користувачам просто потрібно відкрити програму, яку вони хочуть проаналізувати, поділитися адресою InAppBrowser.com десь всередині програми (наприклад, у повідомленні іншій людині), натиснути на посилання всередині програми, щоб відкрити його в in-app браузері й прочитати деталі наведеного звіту.

Apple поки не прокоментувала збір даних застосунком.