TikTok은 사용자가 TikTok 앱에서 브라우저 페이지를 열 때 타사 웹 페이지에 코드를 삽입합니다. 이 코드는 무엇보다도 키로거 역할을 할 수 있습니다. 소셜 미디어에 따르면 문제의 코드는 개발 목적으로만 사용됩니다.
개발자이자 보안 연구원인 Felix Krause는 사용자가 iOS 버전의 TikTok에서 링크를 열면 소셜 미디어에서 JavaScript 코드를 삽입할 수 있는 인앱 브라우저가 열리는 것을 발견했습니다. 이를 통해 비밀번호, 결제 정보 및 기타 데이터를 포함하여 키보드로 입력한 데이터를 기록할 수 있습니다. 그는 이것이 애플리케이션의 Android 버전에서도 해당되는지 여부를 조사하지 않았습니다.
TikTok은 Forbes에 JavaScript 코드가 실제로 존재하지만 주장된 키로거에 대한 메시지가 오해의 소지가 있음을 확인했습니다. 논란의 여지가 있는 코드는 타사 SDK의 사용되지 않은 부분이라고 합니다. “다른 플랫폼과 마찬가지로 우리도 인앱 브라우저를 사용하여 최적의 사용자 경험을 제공합니다. 관련 JavaScript 코드는 애플리케이션의 디버깅, 문제 해결 및 성능 모니터링에 사용됩니다. 예를 들어 페이지 로드 속도 및 페이지 충돌 여부를 확인합니다."
따라서 타사 SDK 코드의 키로거 부분은 사용되지 않습니다. 이 제XNUMX자가 누구이며 실제로 개발 목적으로 키로거가 필요한지 여부는 명확하지 않습니다. TikTok은 또한 등록된 특정 데이터가 장치에서 로컬로만 처리되고 소셜 미디어의 서버로 전달되지 않는다고 제안합니다.
연구원은 인앱 브라우저에서 Instagram과 Facebook이 추적한 초기 발견과 일치하는 그의 연구 결과에서 TikTok의 진술이 정확할 수 있다고 말합니다. “앱이 외부 웹사이트에 JavaScript를 삽입한다고 해서 반드시 앱이 악의적인 일을 하고 있다는 의미는 아닙니다. 인앱 브라우저가 수집하는 데이터와 이 데이터가 전달 또는 사용되는지 정확히 알 수 있는 방법이 없습니다.”
따라서 TikTok이 실제로 사용자의 키보드 입력을 기록하고 자체 서버로 보내거나 저장하는 것은 말할 것도 없습니다. 그러나 이것이 가능하다는 것은 거의 확실합니다. 이러한 이유로 Krause에 따르면 TikTok뿐만 아니라 Facebook 및 Instagram을 통해서도 브라우저 링크를 복사하여 신뢰할 수 있는 브라우저에 직접 붙여넣는 것이 좋습니다. 이런 식으로 관련 응용 프로그램은 이러한 방식으로 민감한 데이터를 등록하는 코드를 삽입할 수 없습니다.