TikTok injizéiert Code an Drëtt Partei Websäiten wann e Benotzer eng Browser Säit an der TikTok App opmaacht. Dëse Code kéint als Keylogger déngen, ënner anerem. Laut dem soziale Medium gëtt de betraffene Code nëmme fir Entwécklungszwecker benotzt.
Entwéckler a Sécherheetsfuerscher Felix Krause huet festgestallt datt wann e Benotzer e Link an der iOS Versioun vun TikTok opmaacht, en In-App Browser opmaacht wou de soziale Medium JavaScript Code kann injizéieren. Dëst géif erlaben Daten mat der Tastatur aginn, dorënner Passwierder, Bezuelen Informatiounen an aner Donnéeën, opgeholl ginn. Hien huet net ënnersicht ob dat och fir d'Android Versioun vun der Applikatioun de Fall ass.
TikTok bestätegt dem Forbes datt de JavaScript Code wierklech präsent ass, awer datt d'Messagen iwwer e angeblech Keylogger täuschend sinn. De kontroverse Stéck Code gëtt gesot als en onbenotzten Deel vun enger Drëtt Partei SDK. "Wéi aner Plattformen benotze mir och en In-App Browser fir eng optimal Benotzererfarung ze bidden. Den entspriechende JavaScript Code gëtt fir Debugging, Troubleshooting an Iwwerwaachung vun der Leeschtung vun der Applikatioun benotzt, zum Beispill fir d'Laaschtgeschwindegkeet vun enger Säit ze kontrolléieren an ob d'Säit crasht.
Also, de Keylogger Deel vum Code vun der Drëtt Partei SDK géif net benotzt ginn. Et ass net kloer wien dës Drëtt Partei ass an ob se tatsächlech e Keylogger fir Entwécklungszwecker brauchen. TikTok proposéiert weider datt verschidde registréiert Donnéeën nëmme lokal um Apparat veraarbecht ginn an net op Servere vum soziale Medium weidergeleet ginn.
De Fuerscher seet a sengen Erkenntnisser, déi am Aklang mat der fréierer Entdeckung vum Tracking vun Instagram a Facebook an In-App Browser sinn, datt dem TikTok seng Ausso méiglecherweis richteg ka sinn. "Just well eng App JavaScript an extern Websäite injizéiert heescht net onbedéngt datt d'App eppes béiswëlleg mécht. Et gëtt kee Wee genee ze wëssen wéi eng Donnéeën en In-App-Browser sammelt an ob dës Donnéeë weidergeleet oder benotzt ginn.
Et ass also net gegeben datt TikTok tatsächlech d'Tastaturinput vun de Benotzer registréiert, loosst et op seng eege Server schéckt oder soss späichert. Et ass awer bal sécher, datt dat méiglech wier. Aus deem Grond, laut Krause, ass et schlau Browser Linken iwwer TikTok ze kopéieren, awer och iwwer Facebook an Instagram, an se direkt an e vertrauenswürdege Browser ze pechen. Op dës Manéier kënnen déi entspriechend Uwendungen net Code injizéieren fir sensibel Donnéeën op dës Manéier z'registréieren.