TikTok uwikłał się w kolejną kontrowersję, która doprowadziła go do podążania słynną ścieżką ukradkowego śledzenia użytkowników online w taki sam sposób, jak konkurencyjne platformy, takie jak Instagram i Facebook. Według analizy przeprowadzonej przez badacza bezpieczeństwa Felixa Krause, przeglądarka internetowa aplikacji TikTok jest w stanie rejestrować wszystkie naciśnięcia klawiszy, potencjalnie dając jej dostęp do poufnych informacji, takich jak dane logowania, a także śledzić strony odwiedzane przez użytkowników i to, co na nich robią. strony internetowe.
Po kliknięciu łącza podczas surfowania w aplikacji TikTok łącze otwiera się w natywnym widoku sieci Web, działając jako główna przeglądarka internetowa TikTok. Nie wszystkie aplikacje to robią. Weźmy na przykład WhatsApp. Po kliknięciu udostępnionego adresu URL w aplikacji do obsługi wiadomości zostanie on automatycznie otwarty w domyślnej przeglądarce telefonu, która może mieć zakres od Chrome do Safari.
TikTok nie jest jedynym w dostarczaniu natywnego środowiska przeglądarki, ale w kodzie jest coś nikczemnego. Według Krause, przeglądarka TikTok aplikacji ma wiersze poleceń JavaScript, które pozwalają rejestrować każde naciśnięcie klawisza, gdy użytkownik przegląda stronę internetową. Oznacza to, że każde naciśnięcie klawisza, od wiadomości po logowanie, może zostać zarejestrowane.
Puste wyjaśnienie
Keyloggery to jedna z najczęściej nadużywanych technik kradzieży poufnych informacji, co sprawia, że zastanawiasz się, dlaczego aplikacja mediów społecznościowych, taka jak TikTok, używałaby tego kodu we wbudowanej sieci przeglądarki. Oprócz śledzenia naciśnięć klawiszy przeglądarka TikTok aplikacji może również rejestrować wszystkie wejścia na ekranie. Aplikacja może rejestrować każdy kliknięty obraz, każdy dotknięty przycisk i każdy adres URL, z którym wchodzisz w interakcję w przeglądarce internetowej TikTok.
Wszystko to odbywa się za pomocą niestandardowej funkcji JavaScript. Urzędnicy TikTok zaprzeczyli twierdzeniom o śledzeniu użytkowników, ale przyznali, że kod JavaScript dla tych działań jest w rzeczywistości częścią przeglądarki aplikacji. Jednak wyjaśnienie, dlaczego te mylące funkcje są dołączone do przeglądarki internetowej w aplikacji, wydaje się dość dziwne.
W oficjalnym oświadczeniu udostępnionym przez Forbes, rzecznik TikTok wspomniał, że kontrowersyjny kod JavaScript używany do „debugowania, rozwiązywania problemów i monitorowania wydajności” podczas korzystania z Internetu został dostarczony przez przeglądarkę w aplikacji.
Należy tutaj zauważyć, że Krause nie twierdzi, że znalazł dowody na to, że TikTok nadużywa tej funkcji do śledzenia użytkowników, ani nie udostępnia tych cennych danych stronom trzecim. Jednocześnie, jak Krause powiedział Forbesowi, „nie stało się to przez pomyłkę ani przypadek”.
Delikatna historia prywatności
Co ciekawe, z siedmiu aplikacji testowanych w projekcie badawczym Krause’a TikTok był jedyną, która potrafiła rejestrować naciśnięcia klawiszy. TikTok pojawił się również jako aplikacja, która śledzi najszerszy zakres aktywności użytkowników – wyprzedzając Facebooka, Instagram, Amazon i Snapchat.
Trudno zobaczyć twierdzenia TikTok w wartości nominalnej. Dochodzenie BuzzFeed ujawniło niedawno, że w Chinach uzyskano dostęp do danych użytkowników z USA, pomimo wielokrotnych twierdzeń firmy, że w przeszłości było inaczej. Po raporcie BuzzFeed powołującym się na wyciekające wewnętrzne nagrania, TikTok ogłosił, że przesyła wszystkie dane użytkowników z USA na serwery znajdujące się w USA w ramach partnerstwa z Oracle. TikTok został zakazany w Indiach ze względów bezpieczeństwa narodowego i nie tak dawno temu uniknął zakazu w USA z powodu podobnych obaw.
W czerwcu 2022 r. komisarz FCC Brendan Carr poprosił Google i Apple o usunięcie TikTok ze Sklepu Play i App Store za rzekome powiązania z chińskim rządem. Carr wspomniał w liście otwartym, że poufne dane użytkownika są dostępne w Chinach. Michael Beckerman, szef polityki publicznej TikTok na rynku amerykańskim, zaprzeczył tym twierdzeniom w wywiadzie dla CNN.