TikTok nyuntikake kode menyang browser ing-app, 'ora nggunakake keylogger sing diduga'

TikTok nyuntikake kode menyang kaca web pihak katelu nalika pangguna mbukak kaca browser ing aplikasi TikTok. Kode iki bisa dadi keylogger, antara liya. Miturut media sosial, kode sing dimaksud mung digunakake kanggo tujuan pangembangan.

Peneliti pangembang lan keamanan Felix Krause nemokake manawa pangguna mbukak link ing TikTok versi iOS, browser ing-app mbukak ing ngendi media sosial bisa nyuntikake kode JavaScript. Iki bakal ngidini data sing dilebokake nganggo keyboard, kalebu sandhi, informasi pembayaran lan data liyane, kanggo direkam. Dheweke ora nyelidiki apa iki uga ditrapake kanggo versi Android aplikasi kasebut.

TikTok negesake menyang Forbes manawa kode JavaScript pancen ana, nanging pesen babagan keylogger sing diduga nyasab. Potongan kode sing kontroversial diarani minangka bagean sing ora digunakake saka SDK pihak katelu. "Kaya platform liyane, kita uga nggunakake browser ing-app kanggo nyedhiyakake pengalaman pangguna sing optimal. Kode JavaScript sing relevan digunakake kanggo debugging, ngatasi masalah lan ngawasi kinerja aplikasi, contone kanggo mriksa kacepetan loading kaca lan yen kaca kasebut nabrak.

Mangkono, bagean keylogger kode saka SDK pihak katelu ora bakal digunakake. Ora jelas sapa pihak katelu iki lan apa pancene mbutuhake keylogger kanggo tujuan pembangunan. TikTok luwih nyaranake manawa data pangguna tartamtu mung diproses sacara lokal ing piranti kasebut lan ora diterusake menyang server media sosial.

Peneliti ujar manawa panemune, sing cocog karo panemuan pelacakan Instagram lan Facebook ing browser ing-app, ujare TikTok bisa uga bener. "Mung amarga app nyuntikake JavaScript menyang situs web eksternal ora ateges app kasebut nindakake tumindak ala. Ora ana cara kanggo ngerti persis apa data sing dikumpulake browser ing-app lan apa data iki diterusake utawa digunakake.

Mula, ora ateges TikTok nyathet input keyboard pangguna, apa maneh ngirim menyang server dhewe utawa nyimpen. Nanging, meh mesthi manawa iki bisa ditindakake. Mulane, miturut Krause, luwih becik nyalin tautan browser liwat TikTok, nanging uga liwat Facebook lan Instagram, lan langsung nempelake menyang browser sing dipercaya. Kanthi cara iki, aplikasi sing cocog ora bisa nyuntik kode kanggo ndhaptar data sensitif kanthi cara iki.