Το TikTok καταγράφει τις πληκτρολογήσεις των χρηστών με το πρόγραμμα περιήγησης εντός της εφαρμογής σε συσκευές Apple, συμπεριλαμβανομένων κωδικών πρόσβασης και αριθμών πιστωτικών καρτών, σύμφωνα με έναν ερευνητή που εργαζόταν για την Google και το Twitter.
Ο προγραμματιστής εφαρμογών και ερευνητής προστασίας προσωπικών δεδομένων Felix Krause δημοσίευσε μια έκθεση σχετικά με τους κινδύνους που σχετίζονται με ορισμένες εφαρμογές iOS που εισάγουν κώδικα JavaScript σε προγράμματα περιήγησης τρίτων.
Από τις επτά πιο δημοφιλείς εφαρμογές iOS που αναλύθηκαν, το TikTok με έδρα το Πεκίνο ήταν η μόνη που δεν έδινε στους χρήστες την επιλογή να ανοίγουν συνδέσμους με πρόγραμμα περιήγησης τρίτου μέρους.
Ο Krause διαπίστωσε ότι η εφαρμογή iOS του TikTok «παρακολουθεί όλα τα πατήματα που συμβαίνουν σε ιστότοπους, συμπεριλαμβανομένων των πατημάτων σε όλα τα κουμπιά και τους συνδέσμους» που προσπελαύνονται μέσω του προγράμματος περιήγησης εντός της εφαρμογής.
«Το TikTok iOS εγγράφεται σε κάθε πληκτρολόγηση (εισαγωγή κειμένου) που συμβαίνει σε ιστότοπους τρίτων που απεικονίζονται μέσα στην εφαρμογή TikTok. Αυτό μπορεί να περιλαμβάνει κωδικούς πρόσβασης, πληροφορίες πιστωτικής κάρτας και άλλα ευαίσθητα δεδομένα χρήστη (πάτημα και κατέβασμα πλήκτρων)», γράφει ο Krause.
«Δεν μπορούμε να γνωρίζουμε για ποιο λόγο χρησιμοποιεί η TikTok τη συνδρομή, αλλά από τεχνική άποψη, αυτό είναι ισοδύναμο με την εγκατάσταση ενός keylogger σε ιστότοπους τρίτων».
Η TikTok επιβεβαίωσε ότι ο κώδικας υπάρχει στην εφαρμογή της για iOS, αλλά ισχυρίστηκε ότι δεν τον χρησιμοποιεί.
«Όπως και άλλες πλατφόρμες, χρησιμοποιούμε ένα πρόγραμμα περιήγησης εντός της εφαρμογής για να παρέχουμε μια βέλτιστη εμπειρία χρήστη, αλλά ο εν λόγω κώδικας Javascript χρησιμοποιείται μόνο για την αποσφαλμάτωση, την αντιμετώπιση προβλημάτων και την παρακολούθηση των επιδόσεων αυτής της εμπειρίας -όπως ο έλεγχος του πόσο γρήγορα φορτώνει μια σελίδα ή αν καταρρέει», δήλωσε η εκπρόσωπος της TikTok Maureen Shanahan σε δήλωση που εξασφάλισε ο Krause.
Ο Krause ανέλυσε το TikTok, το Facebook, το Instagram, το Snapchat, το Amazon, το Robinhood και το Messenger με ένα εργαλείο που ανέπτυξε και ονομάζεται InAppBrowser.com.
Σύμφωνα με την έκθεση, μόνο το Snapchat και το Robinhood δεν εισήγαγαν κώδικα JavaScript. Το Facebook, το Instagram και το Messenger εισήγαγαν κάποιο κώδικα, αλλά ο Krause δήλωσε ότι αυτό «δεν σημαίνει ότι η εφαρμογή κάνει κάτι κακόβουλο».
«Επειδή μια εφαρμογή εισάγει JavaScript σε εξωτερικούς ιστότοπους, δεν σημαίνει ότι η εφαρμογή κάνει κάτι κακόβουλο. Δεν υπάρχει τρόπος να γνωρίζουμε όλες τις λεπτομέρειες σχετικά με το είδος των δεδομένων που συλλέγει κάθε πρόγραμμα περιήγησης εντός της εφαρμογής, ή πώς ή αν τα δεδομένα μεταφέρονται ή χρησιμοποιούνται», γράφει ο Krause.
Οι κίνδυνοι
Ο Krause δήλωσε ότι ο κίνδυνος εμφανίζεται όταν οι χρήστες ανοίγουν συνδέσμους ενώ χρησιμοποιούν μια εφαρμογή iOS, όπως το TikTok, και βλέπουν την αποδιδόμενη ιστοσελίδα μέσα σε αυτή την εφαρμογή αντί να ανοίξουν τον σύνδεσμο με ένα πρόγραμμα περιήγησης τρίτου μέρους, όπως το Safari ή το Chrome.
Κάποιος κώδικας JavaScript επιτρέπει στις εφαρμογές να γνωρίζουν πόση ώρα ο χρήστης επισκέφθηκε τον συνδεδεμένο ιστότοπο, ποιους συνδέσμους άνοιξε, τι πάτησε, τα δεδομένα τοποθεσίας αν είναι ενεργοποιημένα και ακόμη και να καταγράφουν τον χρήστη ή να «αναλύουν το πρόσωπό του» κατά την περιήγησή του, σημείωσε ο Krause σε ανάρτηση σε blog το 2018.
Αυτό συμβαίνει «χωρίς τη συγκατάθεση του χρήστη, ούτε του παρόχου του ιστότοπου», αναφέρει.
Για παράδειγμα, ένα άτομο που χρησιμοποιεί την εφαρμογή Safari στο iPhone του μπορεί να έχει αποθηκεύσει τα στοιχεία σύνδεσης ή τα στοιχεία της πιστωτικής του κάρτας για λόγους ευκολίας. Αλλά αν επισκεφθεί μια σελίδα με το πρόγραμμα περιήγησης της εφαρμογής του TikTok, οποιαδήποτε πληροφορία σύνδεσης ή πληρωμής θα πρέπει να εισαχθεί εκ νέου. Αυτές οι πληκτρολογήσεις παρακολουθούνται, σύμφωνα με την έκθεση.
«Αυτό προκαλεί διάφορους κινδύνους για τον χρήστη, με την εφαρμογή υποδοχής να είναι σε θέση να παρακολουθεί κάθε αλληλεπίδραση με εξωτερικούς ιστότοπους, από όλες τις εισόδους φόρμας, όπως κωδικούς πρόσβασης και διευθύνσεις, μέχρι κάθε πάτημα», γράφει ο Krause.
Οι ειδικοί έχουν προειδοποιήσει εδώ και καιρό ότι το TikTok δεν μπορεί να είναι αξιόπιστο λόγω των δεσμών της εταιρείας με το Κομμουνιστικό Κόμμα Κίνας (ΚΚΚ). Αυτό έχει φέρει την εταιρεία υπό έρευνα.
Οι κινεζικοί νόμοι για την ασφάλεια υποχρεώνουν τις εταιρείες να συνεργάζονται με τις υπηρεσίες πληροφοριών όταν τους ζητείται. Η TikTok έχει δηλώσει ότι δεν θα συμμορφωθεί με οποιαδήποτε αιτήματα του ΚΚΚ για δεδομένα χρηστών.
Ο Casey Fleming, διευθύνων σύμβουλος της εταιρείας στρατηγικής πληροφοριών και ασφάλειας BlackOps Partners, δήλωσε ότι η ΚΚΚ διεξάγει «άνευ όρων πόλεμο», καθώς επιδιώκει να εκτοπίσει τις Ηνωμένες Πολιτείες και να γίνει η μοναδική υπερδύναμη στον κόσμο.
«Όλη η τεχνολογία που βγαίνει από την Κίνα -είτε κατασκευάζεται στην Κίνα, είτε δημιουργείται στην Κίνα- ελέγχεται από το ΚΚΚ», δήλωσε.
Ο τεράστιος όγκος δεδομένων που συλλέγει το TikTok για τους χρήστες του, κυρίως νεαρούς Αμερικανούς, καθιστά την εφαρμογή επικίνδυνη, σύμφωνα με έναν άλλο εμπειρογνώμονα, ο οποίος δήλωσε ότι η εφαρμογή θα μπορούσε να χρησιμοποιηθεί για την κατασκοπεία των Αμερικανών.
«Αν θέλετε να κατασκοπεύσετε μια χώρα, γιατί να στείλετε έναν κατάσκοπο με τον παλιομοδίτικο τρόπο; Γιατί δεν στέλνεις απλά μια σπουδαία εφαρμογή και να την κάνεις να γίνει viral;», δήλωσε ο Gary Miliefsky, ειδικός σε θέματα κυβερνοασφάλειας και εκδότης του Cyber Defense Magazine, σε δήλωση που είχε προηγουμένως περιέλθει στην Epoch Times.
