當用戶在 TikTok 應用程序中打開瀏覽器頁面時,TikTok 會將代碼注入第三方網頁。 除其他外,此代碼可以用作鍵盤記錄器。 根據社交媒體的說法,有問題的代碼僅用於開發目的。
開發人員和安全研究員 Felix Krause 發現,當用戶在 iOS 版本的 TikTok 中打開鏈接時,會打開一個應用內瀏覽器,社交媒體可以在其中註入 JavaScript 代碼。 這將允許記錄使用鍵盤輸入的數據,包括密碼、支付信息和其他數據。 他沒有調查 Android 版本的應用程序是否也是這種情況。
TikTok 向福布斯確認 JavaScript 代碼確實存在,但有關所謂的鍵盤記錄器的消息具有誤導性。 據說這段有爭議的代碼是第三方 SDK 中未使用的部分。 “與其他平台一樣,我們也使用應用內瀏覽器來提供最佳用戶體驗。 相關的 JavaScript 代碼用於調試、故障排除和監控應用程序的性能,例如檢查頁面的加載速度以及頁面是否崩潰。”
因此,不會使用來自第三方 SDK 的代碼的鍵盤記錄部分。 目前尚不清楚該第三方是誰,以及他們是否真的需要鍵盤記錄器用於開發目的。 TikTok 進一步表明,某些註冊數據僅在設備本地處理,不會轉發到社交媒體的服務器。
研究人員在他的發現中表示,這與 Instagram 和 Facebook 在應用內瀏覽器中跟踪的早期發現一致,TikTok 的聲明可能是正確的。 “僅僅因為應用程序將 JavaScript 注入外部網站並不一定意味著該應用程序正在做一些惡意的事情。 無法確切知道應用內瀏覽器收集了哪些數據,以及這些數據是否被轉發或使用。”
因此,TikTok 確實記錄了用戶的鍵盤輸入,更不用說將其發送到自己的服務器或以其他方式存儲,這並不是一個事實。 然而,幾乎可以肯定這是可能的。 因此,克勞斯認為,明智的做法是通過 TikTok、Facebook 和 Instagram 複製瀏覽器鏈接,然後將它們直接粘貼到受信任的瀏覽器中。 這樣,相關應用程序就無法通過這種方式註入代碼註冊敏感數據。