Исследователь информационной безопасности Felix Krause обнаружил, что встроенный браузер приложения может быть инструментом слежки.
При нажатии на любую внешнюю ссылку в приложении, TikTok открывает её в собственном встроенном браузере, не перенаправляя пользователя в «браузер по умолчанию». Далее этот инструмент от китайской социальной сети начинает отслеживать все действия пользователя на сторонних сайтах собирая информацию в том числе обо всех нажатиях клавиш и всех кликах по экрану. Таким образом, TikTok может узнать какие кнопки и ссылки нажимались на сайте, а также получить все вводимые пароли и данные кредитных карт. Для реализации этой функции браузер от TikTok интегрирует собственные строки JavaScript в открываемые пользователем страницы.
Исследователь отметил, что ему неизвестно для каких именно целей TikTok собирает всю эту информацию, но подобные манипуляции с кодом не могли быть сделаны случайно или по ошибке, а значит, являюстя сознательным выбором разработчика. С технической же точки зрения это равносильно установке программы-сборщика паролей на сторонние сайты и не может не вызывать определенную тревогу.
Сама компания TikTok практически моментально опубликовала опровержение слов Феликса Краузе, заявив что решительно отрицает идею о том, что её приложение шпионит за пользователями на сторонних сайтах.
«Как и на других платформах, мы используем встроенный в приложение браузер для обеспечения оптимального взаимодействия с пользователем, но рассматриваемый код Javascript используется только для отладки, устранения неполадок и мониторинга производительности — например, для проверки скорости загрузки страницы или ее сбоя. «, — говорится в заявлении пресс-секретаря Морин Шанахан.
Отметим, что эти слова скорее подтверждают находку Феликса Краузе, чем опровергают её. По заявлению владельцев, следящее ПО действительно встроено в функционал TikTok, но никак не используется. Возможно, это и было правдой до сих пор. Но вполне вероятно, что после предания истории широкой огласке, появление лиц, использующих такие удобные инструменты в своих интересах – лишь вопрос времени.
С заботой о вашей безопасности, команда Origin security
