По словам специалиста по безопасности Феликса Краузе, собственный браузер TikTok в приложении для iOS, как сообщается, встраивает JavaScript-код во внешние веб-сайты, который позволяет TikTok отслеживать «все нажатия клавиш и касания» во время взаимодействия пользователя с данным веб-сайтом, однако TikTok якобы отрицает, что этот код используется в злонамеренных целях.
Краузе заявил, что браузер TikTok в приложении «подписывается» на все нажатия клавиш во время взаимодействия пользователя с внешним веб-сайтом, включая любые конфиденциальные данные, такие как пароли и информация о кредитных картах, а также каждое касание экрана.
«С технической точки зрения это эквивалентно установке кейлоггера на сторонних веб-сайтах», — написал Краузе относительно встраиваемого TikTok JavaScript-кода. Однако исследователь добавил, что «тот факт, что приложение встраивает JavaScript во внешние веб-сайты, не означает, что оно делает что-то злонамеренное».
В заявлении, опубликованном для Forbes, представитель TikTok признал наличие спорного JavaScript-кода, но заявил, что он используется только для отладки, устранения неполадок и мониторинга производительности для обеспечения «оптимального пользовательского опыта».
«Как и другие платформы, мы используем браузер в приложении для обеспечения оптимального пользовательского опыта, но обсуждаемый JavaScript-код используется только для отладки, устранения неполадок и мониторинга производительности этого опыта — например, для проверки скорости загрузки страницы или ее сбоев», — говорится в заявлении, по данным Forbes.
Краузе посоветовал пользователям, желающим защитить себя от любого потенциального злонамеренного использования JavaScript-кода в браузерах в приложениях, переключаться на просмотр ссылок в браузере по умолчанию платформы, если это возможно, например, Safari на iPhone и iPad.
«Всякий раз, когда вы открываете ссылку из любого приложения, проверьте, предлагает ли приложение способ открыть текущий веб-сайт в вашем браузере по умолчанию», — написал Краузе. «В ходе этого анализа все приложения, кроме TikTok, предлагали способ сделать это».
Facebook и Instagram — это еще два приложения, которые встраивают JavaScript-код во внешние веб-сайты, загружаемые в их браузеры в приложениях, что дает им возможность отслеживать активность пользователей, по словам Краузе. В твите представитель материнской компании Facebook и Instagram Meta заявил, что компания «сознательно разработала этот код для соблюдения выбора пользователей в отношении отслеживания приложений (ATT) на наших платформах».
Краузе сообщил, что создал простой инструмент, который позволяет любому проверить, встраивает ли браузер в приложении JavaScript-код при отображении веб-сайта. По словам исследователя, пользователям просто нужно открыть приложение, которое они хотят проанализировать, поделиться адресом InAppBrowser.com где-нибудь в приложении (например, в личном сообщении другому человеку), нажать на ссылку внутри приложения, чтобы открыть ее в браузере в приложении, и прочитать детали показанного отчета.
Apple не сразу ответила на запрос о комментарии.
Обновление: Представитель TikTok предоставил следующее заявление для MacRumors.
«Выводы отчета о TikTok неверны и вводят в заблуждение. Исследователь специально заявляет, что JavaScript-код не означает, что наше приложение делает что-то злонамеренное, и признает, что у него нет возможности узнать, какие данные собирает наш браузер в приложении. Вопреки заявлениям в отчете, мы не собираем нажатия клавиш или текстовые вводы через этот код, который используется исключительно для отладки, устранения неполадок и мониторинга производительности».
По словам представителя TikTok, JavaScript-код является частью комплекта для разработки программного обеспечения (SDK), который использует TikTok, а упомянутые Краузе функции «keypress» и «keydown» являются обычными входными данными, которые TikTok не использует для журналирования нажатий клавиш.
