当用户在 TikTok 应用程序中打开浏览器页面时,TikTok 会将代码注入第三方网页。 除其他外,此代码可以用作键盘记录器。 根据社交媒体的说法,有问题的代码仅用于开发目的。
开发人员和安全研究员 Felix Krause 发现,当用户在 iOS 版本的 TikTok 中打开链接时,会打开一个应用内浏览器,社交媒体可以在其中注入 JavaScript 代码。 这将允许记录使用键盘输入的数据,包括密码、支付信息和其他数据。 他没有调查 Android 版本的应用程序是否也是这种情况。
TikTok 向福布斯确认 JavaScript 代码确实存在,但有关所谓的键盘记录器的消息具有误导性。 据说这段有争议的代码是第三方 SDK 中未使用的部分。 “与其他平台一样,我们也使用应用内浏览器来提供最佳用户体验。 相关的 JavaScript 代码用于调试、故障排除和监控应用程序的性能,例如检查页面的加载速度以及页面是否崩溃。”
因此,不会使用来自第三方 SDK 的代码的键盘记录部分。 目前尚不清楚该第三方是谁,以及他们是否真的需要键盘记录器用于开发目的。 TikTok 进一步暗示,某些注册数据仅在设备本地处理,不会转发到社交媒体的服务器。
研究人员在他的发现中表示,这与 Instagram 和 Facebook 在应用内浏览器中跟踪的早期发现一致,TikTok 的声明可能是正确的。 “仅仅因为应用程序将 JavaScript 注入外部网站并不一定意味着该应用程序正在做一些恶意的事情。 无法确切知道应用内浏览器收集了哪些数据,以及这些数据是否被转发或使用。”
因此,TikTok 确实记录了用户的键盘输入,更不用说将其发送到自己的服务器或以其他方式存储,这并不是一个假设。 然而,几乎可以肯定这是可能的。 因此,克劳斯认为,明智的做法是通过 TikTok、Facebook 和 Instagram 复制浏览器链接,然后将它们直接粘贴到受信任的浏览器中。 这样,相关应用程序就无法通过这种方式注入代码注册敏感数据。