TikTok被曝App內瀏覽器“監(jiān)控輸入和點擊的任何內容”，公司發(fā)言人否認Javascript代碼用于惡意行為

IT之家8月21日消息，據安全研究員Felix Krause稱，TikTok在iOS上的自定義App內瀏覽器將JavaScript代碼注入外部網站，允許TikTok在用戶與給定網站交互時監(jiān)控“所有鍵盤輸入和點擊”，但據報道TikTok公司否認了該代碼被用于惡意行為。

Krause表示，當用戶與外部網站交互時，TikTok App內瀏覽器會“訂閱”所有鍵盤輸入，包括密碼和信用卡信息等任何敏感細節(jié)，以及屏幕上的每次點擊。

“從技術角度來看，這相當于在第三方網站上安裝鍵盤記錄器，”Krause在談到TikTok注入的JavaScript代碼時寫道。然而，研究人員補充說，“僅僅是應用將JavaScript注入外部網站，但并不意味著該應用正在做任何惡意的事情?！?/p>

在與福布斯分享的一份聲明中，TikTok發(fā)言人承認了有問題的JavaScript代碼，但表示它僅用于調試、故障排除和性能監(jiān)控，以確?！白罴延脩趔w驗”。

“與其他平臺一樣，我們使用App內瀏覽器來提供最佳用戶體驗，但所討論的Javascript代碼僅用于調試、故障排除和性能監(jiān)控——例如檢查頁面加載速度或是否崩潰?！?/p>

Krause表示，希望保護自己免受App內瀏覽器JavaScript代碼的任何潛在惡意使用的用戶應盡可能切換使用平臺默認瀏覽器訪問查看給定鏈接，例如iPhone和iPad上的Safari瀏覽器。

據Krause稱，Facebook和Instagram是另外存在問題的兩個應用程序，它們將JavaScript代碼插入到加載在App內瀏覽器中的外部網站中，從而使應用程序能夠跟蹤用戶活動。Facebook和Instagram母公司Meta發(fā)言人在推文中表示，該公司“有意開發(fā)此代碼是為了尊重人們在我們平臺上的應用跟蹤透明度(ATT)選擇”?！禡eta Instagram被曝通過App內瀏覽器跟蹤用戶網絡活動，已違反蘋果iOS隱私政策》

Krause說他創(chuàng)建了簡單的工具，允許任何人在呈現網站時檢查App內瀏覽器是否正在注入JavaScript代碼。研究人員表示，用戶只需打開他們想要分析的應用程序，在應用程序內的某處分享地址InAppBrowser.com（例如直接向另一個人發(fā)送消息），點擊應用程序內的鏈接即可在-app瀏覽器，并閱讀顯示的報告的詳細信息。

蘋果沒有立即回應置評請求。

TikTok發(fā)言人進一步聲明表示，

“該報告關于TikTok的結論是不正確且具有誤導性的。研究人員明確表示，JavaScript代碼并不意味著我們的應用程序在做任何惡意行為，并承認他們無法知道我們的應用程序內瀏覽器收集了什么樣的數據。我們不會通過此代碼收集擊鍵或文本輸入，該代碼僅用于調試、故障排除和性能監(jiān)控?！?/p>

據TikTok發(fā)言人稱，JavaScript代碼是TikTok正在利用的軟件開發(fā)工具包(SDK)的一部分，而Krause提到的“keypress”和“keydown”功能是TikTok不用于按鍵記錄的常見輸入。