A TikTok in-app böngészője rögzíti a billentyűleütéseket

TikTok

keylogger

Csak hibakeresésre szolgál, esküsznek. Felix Krause, szoftverkutató és a Fastlane alapítója nemrégiben jelentést készített a népszerű TikTok közösségi alkalmazásról.

Krause azt állítja, hogy az alkalmazáson belüli böngészőbe ágyazott JavaScript-kódot jelenleg a billentyűleütések, képernyőérintések, másolt szöveg stb. nyomon követésére használják, ezt más néven keylogger funkcióként is említik. Krause ezt komoly biztonsági aggálynak tartja. A TikTok azt állítja, hogy ez a kód szigorúan hibakeresési célokat szolgál, és semmilyen módon nem használható a felhasználó adatainak nyomon követésére vagy naplózására az alkalmazás használata közben.

A TikTokot széles körben az egyik legnépszerűbb mobilalkalmazásnak tartják manapság, különösen a fiatalok körében. A 2016-os indulás óta 2,6 milliárd letöltést és a TikTok akár egymilliárd aktív globális felhasználót számláló állításait minden bizonnyal megtartja ez az állítás.

A TikTok már korábban is kivette a részét a biztonsági aggályokból, és még az FCC biztosa, Brendan Carr is felszólította az Apple-t és a Google-t, hogy távolítsák el a megfelelő alkalmazásboltjukból. Ezeket az aggályokat a közelmúltban még hangsúlyosabbá tette Felix Krause, a jól ismert szoftverkutató és a Fastlane alapítója által közzétett jelentés.

Krause kijelenti, hogy a TikTok JavaScript-kóddal beágyazott az alkalmazáson belüli böngészőbe, amelyet akkor használnak, amikor a felhasználók megérintik a hivatkozásokat, miközben görgetik az alkalmazást. Megjegyzi, hogy a böngészőbe ágyazott kód nem aggodalomra ad okot, mivel szinte minden integrált böngészővel rendelkező alkalmazás rendelkezik ezzel a kóddal, beleértve a Facebookot, az Instagramot és a Snapchatet is. Az aggodalomra ad okot, hogy a JavaScript-kód mit szándékozik tenni, miközben a felhasználó interakcióba lép a böngészővel.

Krause elárulja, hogy a kód követi a képernyőérintések helyét, azt, hogy a felhasználó milyen szöveget másol le a böngészőben. De ami a legfontosabb, a kód nyomon követ minden egyes billentyűleütést, amelyet valaki a böngészőben töltött idő alatt végrehajt. Az első két pont nem annyira aggályos, jegyzi meg Krause. Több alkalmazás is követi a képernyő érintését és a másolt szöveget. Azonban a TikTok volt az egyetlen alkalmazás a tesztelése során, amely bármilyen módon naplózta a billentyűleütéseket. Ez kétségtelenül komoly biztonsági aggodalmat jelent a felhasználók számára.

A TikTok gyorsan megkísérelte cáfolni Krause jelentését, és ragaszkodott ahhoz, hogy a billentyűnaplózást, a képernyőérintési adatokat és a felhasználók másolt hivatkozásait naplózó JavaScript-kódot szigorúan hibakeresésre használják.

A vállalat továbbá rámutat, hogy a kód egy "harmadik féltől származó szoftverfejlesztő készletben" szerepelt, amelyet SDK-nak is neveznek, és hogy a kódon belüli biztonsági aggályokat a TikTok nem használja és nem figyeli. Az ezzel kapcsolatos kérdésre azonban a TikTok nem válaszolt az SDK-val kapcsolatos kérdésekre, vagy arra, hogy konkrétan ki készítette azt.

A TikTok térnyerése hatalmas vitákat hozott magával. A kezdetektől fogva aggodalomra ad okot, hogy a TikTok anyavállalata szoros kapcsolatban áll a kínai kormánnyal. Az FCC biztos levele, amelyben azt állítja, hogy az alkalmazást lényegében felügyelet biztosítására és adatok kinyerésére használják a felhasználótól, csak az utolsó felszólítás volt a sok közül, hogy hagyják abba az alkalmazás használatát.

Krause megállapításai egyszerűen egy újabb okot adnak a TikTok használatának abbahagyására. De vajon érdekelni fogja a felhasználókat és a tartalomkészítőket? A biztonsági aggályok jóval meghaladhatják a TikTok által nyújtott szórakoztatási értéket egyesek számára, a TikTok hirdetési bevétele az előrejelzések szerint eléri a 11 milliárd dollárt, ami több, mint a Twitter és a Snapchat együttvéve.

 Olvasson tovább a legfrissebb híreink között!

• Tech Spot