TikTok injekton kodin në shfletuesin brenda aplikacionit, 'nuk përdor gjoja keylogger'

TikTok injekton kodin në faqet e internetit të palëve të treta kur një përdorues hap një faqe shfletuesi në aplikacionin TikTok. Ky kod mund të shërbejë, ndër të tjera, si një regjistrues kyç. Sipas mediumit social, kodi në fjalë përdoret vetëm për qëllime zhvillimi.

Zhvilluesi dhe studiuesi i sigurisë Felix Krause zbuloi se kur një përdorues hap një lidhje në versionin iOS të TikTok, hapet një shfletues brenda aplikacionit ku media sociale mund të injektojë kodin JavaScript. Kjo do të lejonte që të dhënat e futura me tastierë, duke përfshirë fjalëkalimet, informacionin e pagesës dhe të dhëna të tjera, të regjistroheshin. Ai nuk ka hetuar nëse ky është rasti edhe për versionin Android të aplikacionit.

TikTok konfirmon për Forbes se kodi JavaScript është me të vërtetë i pranishëm, por se mesazhet në lidhje me një keylogger të supozuar janë mashtruese. Pjesa e diskutueshme e kodit thuhet se është një pjesë e papërdorur e një SDK-je të palës së tretë. “Ashtu si platformat e tjera, ne përdorim gjithashtu një shfletues brenda aplikacionit për të ofruar një përvojë optimale të përdoruesit. Kodi përkatës JavaScript përdoret për korrigjimin e gabimeve, zgjidhjen e problemeve dhe monitorimin e performancës së aplikacionit, për shembull për të kontrolluar shpejtësinë e ngarkimit të një faqeje dhe nëse faqja rrëzohet."

Kështu, pjesa keylogger e kodit nga SDK e palës së tretë nuk do të përdoret. Nuk është e qartë se kush është kjo palë e tretë dhe nëse në të vërtetë do t'i duhej një keylogger për qëllime zhvillimi. TikTok sugjeron më tej që të dhëna të caktuara të regjistruara përpunohen vetëm në nivel lokal në pajisje dhe nuk përcillen te serverët e mediumit social.

Studiuesi thotë në gjetjet e tij, të cilat janë në përputhje me zbulimin e mëparshëm të gjurmimit nga Instagram dhe Facebook në shfletuesit brenda aplikacionit, se deklarata e TikTok mund të jetë e saktë. “Vetëm për shkak se një aplikacion injekton JavaScript në faqet e jashtme të internetit nuk do të thotë domosdoshmërisht se aplikacioni po bën diçka keqdashëse. Nuk ka asnjë mënyrë për të ditur saktësisht se çfarë të dhënash mbledh një shfletues brenda aplikacionit dhe nëse këto të dhëna po përcillen apo përdoren.”

Prandaj, nuk është e sigurt që TikTok regjistron me të vërtetë hyrjen e përdoruesve në tastierë, e lëre më ta dërgojë atë në serverët e tij ose ta ruan ndryshe. Megjithatë, është pothuajse e sigurt se kjo do të ishte e mundur. Për këtë arsye, sipas Krause, është e mençur të kopjoni lidhjet e shfletuesit përmes TikTok, por edhe përmes Facebook dhe Instagram, dhe t'i ngjitni ato drejtpërdrejt në një shfletues të besuar. Në këtë mënyrë, aplikacionet përkatëse nuk mund të injektojnë kodin për të regjistruar të dhëna sensitive në këtë mënyrë.