TikTok injects codice in pagine web di terze parti quandu un utilizatore apre una pagina di navigatore in l'app TikTok. Stu codice puderia serve cum'è keylogger, frà altre cose. Sicondu u mediu suciale, u codice in quistione hè solu usatu per scopi di sviluppu.
U sviluppatore è investigatore di sicurezza Felix Krause hà truvatu chì quandu un utilizatore apre un ligame in a versione iOS di TikTok, un navigatore in-app si apre induve u media suciale pò inject code JavaScript. Questu permetterà a dati inseriti cù u teclatu, cumprese password, infurmazione di pagamentu è altre dati, per esse registrati. Ùn hà micca investigatu se questu hè ancu u casu per a versione Android di l'applicazione.
TikTok cunfirma à Forbes chì u codice JavaScript hè veramente presente, ma chì i missaghji nantu à un presunta keylogger sò ingannevoli. U pezzu cuntruversu di codice hè dettu chì hè una parte inutilizata di un SDK di terzu. "Cum'è altre piattaforme, usemu ancu un navigatore in-app per furnisce una sperienza d'utilizatore ottima. U codice JavaScript pertinente hè utilizatu per a debugging, a risoluzione di i prublemi è u monitoraghju di u rendiment di l'applicazione, per esempiu per verificà a velocità di carica di una pagina è se a pagina falla.
Cusì, a parte keylogger di u codice da u SDK di terzu ùn saria micca usatu. Ùn hè micca chjaru quale hè questu terzu è s'ellu avaristi veramente bisognu di un keylogger per scopi di sviluppu. TikTok suggerisce ancu chì certi dati registrati sò trattati solu in u locu in u dispusitivu è ùn sò micca trasmessi à i servitori di u media suciale.
U ricercatore dice in i so scuperte, chì sò in linea cù a scuperta precedente di u seguimentu da Instagram è Facebook in i navigatori in-app, chì a dichjarazione di TikTok puderia esse corretta. "Solu perchè una app injecta JavaScript in siti web esterni ùn significa micca necessariamente chì l'app faci qualcosa di malicioso. Ùn ci hè manera di sapè esattamente quali dati raccoglie un navigatore in-app è se queste dati sò stati trasmessi o utilizati.
Per quessa, ùn hè micca un datu chì TikTok registra l'input di u teclatu di l'utilizatori, per ùn dì chì l'invia à i so servitori o altrimente l'almacene. Tuttavia, hè quasi sicuru chì questu seria pussibule. Per quessa, secondu Krause, hè prudente di copià i ligami di u navigatore via TikTok, ma ancu via Facebook è Instagram, è incollà direttamente in un navigatore di fiducia. In questu modu, l'applicazioni pertinenti ùn ponu micca inject code per registrà dati sensibili in questu modu.