據安全研究員 Felix Krause 稱,TikTok 在 iOS 上的自定義 App 內瀏覽器將 JavaScript 代碼注入外部網站,允許 TikTok 在用戶與給定網站交互時監(jiān)控“所有鍵盤輸入和點擊”,但據報道 TikTok 公司否認了該代碼被用于惡意行為。
Krause 表示,當用戶與外部網站交互時,TikTok App 內瀏覽器會“訂閱”所有鍵盤輸入,包括密碼和信用卡信息等任何敏感細節(jié),以及屏幕上的每次點擊。
“從技術角度來看,這相當于在第三方網站上安裝鍵盤記錄器,”Krause 在談到 TikTok 注入的 JavaScript 代碼時寫道。然而,研究人員補充說,“僅僅是應用將 JavaScript 注入外部網站,但并不意味著該應用正在做任何惡意的事情!
在與福布斯分享的一份聲明中,TikTok 發(fā)言人承認了有問題的 JavaScript 代碼,但表示它僅用于調試、故障排除和性能監(jiān)控,以確!白罴延脩趔w驗”。
“與其他平臺一樣,我們使用 App 內瀏覽器來提供最佳用戶體驗,但所討論的 Javascript 代碼僅用于調試、故障排除和性能監(jiān)控 —— 例如檢查頁面加載速度或是否崩潰。”
Krause 表示,希望保護自己免受 App 內瀏覽器 JavaScript 代碼的任何潛在惡意使用的用戶應盡可能切換使用平臺默認瀏覽器訪問查看給定鏈接,例如 iPhone 和 iPad 上的 Safari 瀏覽器。
據 Krause 稱,Facebook 和 Instagram 是另外存在問題的兩個應用程序,它們將 JavaScript 代碼插入到加載在 App 內瀏覽器中的外部網站中,從而使應用程序能夠跟蹤用戶活動。Facebook 和 Instagram 母公司 Meta 發(fā)言人在推文中表示,該公司“有意開發(fā)此代碼是為了尊重人們在我們平臺上的應用跟蹤透明度 (ATT) 選擇”!禡eta Instagram 被曝通過 App 內瀏覽器跟蹤用戶網絡活動,已違反蘋果 iOS 隱私政策》
Krause 說他創(chuàng)建了簡單的工具,允許任何人在呈現網站時檢查 App 內瀏覽器是否正在注入 JavaScript 代碼。研究人員表示,用戶只需打開他們想要分析的應用程序,在應用程序內的某處分享地址 InAppBrowser.com(例如直接向另一個人發(fā)送消息),點擊應用程序內的鏈接即可在-app 瀏覽器,并閱讀顯示的報告的詳細信息。
蘋果沒有立即回應置評請求。
TikTok發(fā)言人進一步聲明表示,
“該報告關于 TikTok 的結論是不正確且具有誤導性的。研究人員明確表示,JavaScript 代碼并不意味著我們的應用程序在做任何惡意行為,并承認他們無法知道我們的應用程序內瀏覽器收集了什么樣的數據。我們不會通過此代碼收集擊鍵或文本輸入,該代碼僅用于調試、故障排除和性能監(jiān)控!
據 TikTok 發(fā)言人稱,JavaScript 代碼是 TikTok 正在利用的軟件開發(fā)工具包 (SDK) 的一部分,而 Krause 提到的“keypress”和“keydown”功能是 TikTok 不用于按鍵記錄的常見輸入。