TikTok被曝App內(nèi)瀏覽器監(jiān)控輸入和點擊的任何內(nèi)容 發(fā)言人否認(rèn)

據(jù)安全研究員 Felix Krause 稱，TikTok 在 iOS 上的自定義 App 內(nèi)瀏覽器將 JavaScript 代碼注入外部網(wǎng)站，允許 TikTok 在用戶與給定網(wǎng)站交互時監(jiān)控“所有鍵盤輸入和點擊”，但據(jù)報道 TikTok 公司否認(rèn)了該代碼被用于惡意行為。

Krause 表示，當(dāng)用戶與外部網(wǎng)站交互時，TikTok App 內(nèi)瀏覽器會“訂閱”所有鍵盤輸入，包括密碼和信用卡信息等任何敏感細(xì)節(jié)，以及屏幕上的每次點擊。

“從技術(shù)角度來看，這相當(dāng)于在第三方網(wǎng)站上安裝鍵盤記錄器，”Krause 在談到 TikTok 注入的 JavaScript 代碼時寫道。然而，研究人員補充說，“僅僅是應(yīng)用將 JavaScript 注入外部網(wǎng)站，但并不意味著該應(yīng)用正在做任何惡意的事情。”

在與福布斯分享的一份聲明中，TikTok 發(fā)言人承認(rèn)了有問題的 JavaScript 代碼，但表示它僅用于調(diào)試、故障排除和性能監(jiān)控，以確�！白罴延脩趔w驗”。

“與其他平臺一樣，我們使用 App 內(nèi)瀏覽器來提供最佳用戶體驗，但所討論的 Javascript 代碼僅用于調(diào)試、故障排除和性能監(jiān)控 —— 例如檢查頁面加載速度或是否崩潰。”

Krause 表示，希望保護自己免受 App 內(nèi)瀏覽器 JavaScript 代碼的任何潛在惡意使用的用戶應(yīng)盡可能切換使用平臺默認(rèn)瀏覽器訪問查看給定鏈接，例如 iPhone 和 iPad 上的 Safari 瀏覽器。

據(jù) Krause 稱，F(xiàn)acebook 和 Instagram 是另外存在問題的兩個應(yīng)用程序，它們將 JavaScript 代碼插入到加載在 App 內(nèi)瀏覽器中的外部網(wǎng)站中，從而使應(yīng)用程序能夠跟蹤用戶活動。Facebook 和 Instagram 母公司 Meta 發(fā)言人在推文中表示，該公司“有意開發(fā)此代碼是為了尊重人們在我們平臺上的應(yīng)用跟蹤透明度 (ATT) 選擇”。《Meta Instagram 被曝通過 App 內(nèi)瀏覽器跟蹤用戶網(wǎng)絡(luò)活動，已違反蘋果 iOS 隱私政策》

Krause 說他創(chuàng)建了簡單的工具，允許任何人在呈現(xiàn)網(wǎng)站時檢查 App 內(nèi)瀏覽器是否正在注入 JavaScript 代碼。研究人員表示，用戶只需打開他們想要分析的應(yīng)用程序，在應(yīng)用程序內(nèi)的某處分享地址 InAppBrowser.com（例如直接向另一個人發(fā)送消息），點擊應(yīng)用程序內(nèi)的鏈接即可在-app 瀏覽器，并閱讀顯示的報告的詳細(xì)信息。

蘋果沒有立即回應(yīng)置評請求。

TikTok發(fā)言人進一步聲明表示，

“該報告關(guān)于 TikTok 的結(jié)論是不正確且具有誤導(dǎo)性的。研究人員明確表示，JavaScript 代碼并不意味著我們的應(yīng)用程序在做任何惡意行為，并承認(rèn)他們無法知道我們的應(yīng)用程序內(nèi)瀏覽器收集了什么樣的數(shù)據(jù)。我們不會通過此代碼收集擊鍵或文本輸入，該代碼僅用于調(diào)試、故障排除和性能監(jiān)控�！�

據(jù) TikTok 發(fā)言人稱，JavaScript 代碼是 TikTok 正在利用的軟件開發(fā)工具包 (SDK) 的一部分，而 Krause 提到的“keypress”和“keydown”功能是 TikTok 不用于按鍵記錄的常見輸入。