Browser dalam aplikasi TikTok mungkin merekam keyboard, analisis privasi memperingatkan – TechCrunch
Waspadalah terhadap browser dalam aplikasi adalah aturan praktis yang baik untuk setiap pengguna aplikasi seluler yang peduli dengan privasi – karena aplikasi dapat memanfaatkan cengkeramannya pada perhatian pengguna untuk mengintip apa yang Anda lihat melalui browser yang juga dikontrolnya . Tetapi alis telah terangkat tentang perilaku browser TikTok dalam aplikasi setelah kemerdekaan pencarian privasi Oleh pengembang Felix Krause, ia telah menemukan injeksi kode untuk aplikasi iOS jejaring sosial yang dapat memungkinkannya memantau semua input dan klik keyboard. alias, Kellog.
“TikTok iOS melibatkan setiap penekanan tombol (input teks) yang terjadi di situs web pihak ketiga yang dilihat dalam aplikasi TikTok. Ini dapat mencakup kata sandi, informasi kartu kredit, dan data pengguna sensitif lainnya,” Krause memperingatkan dalam sebuah Postingan blog Hasil detail. “Kami tidak tahu untuk apa TikTok digunakan untuk mendaftar, tetapi dari perspektif teknis, Ini setara dengan menginstal keylogger di situs web pihak ketiga. [emphasis his]
setelah diterbitkan laporan Minggu lalu — berfokus pada kemampuan aplikasi Meta di Facebook dan Instagram iOS untuk melacak pengguna browser mereka di dalam aplikasi — Krause menindaklanjuti dengan meluncurkan alat yang disebut InAppBrowser.com, ini memungkinkan pengguna aplikasi seluler untuk mendapatkan detail kode yang dimasukkan oleh browser di dalam aplikasi dengan mencantumkan perintah JavaScript yang dijalankan aplikasi saat halaman sedang dilihat. (Catatan: Ini memperingatkan bahwa alat tidak harus mencantumkan semua perintah JavaScript yang dijalankan dan tidak dapat menangkap jejak yang mungkin dilakukan aplikasi dengan kode asli – jadi paling baik alat ini memberikan gambaran sekilas tentang aktivitas yang berpotensi samar.)
Krause telah menggunakan alat ini untuk menghasilkan analisis komparatif singkat dari sejumlah aplikasi utama yang tampaknya menempatkan TikTok di depan dalam hal perilaku yang terkait dengan browser dalam aplikasi – mengingat ruang lingkup masukan, keikutsertaan terbatas pada; Dan fakta bahwa itu tidak memberi pengguna opsi untuk menggunakan browser seluler default (yaitu alih-alih browser dalam aplikasinya) untuk membuka tautan web. Yang terakhir berarti bahwa tidak ada cara untuk menghindari pengunduhan kode pelacakan TikTok jika Anda menggunakan aplikasi untuk melihat tautan – satu-satunya pilihan untuk menghindari risiko privasi ini adalah memutuskan sambungan aplikasi sepenuhnya dan menggunakan browser ponsel Anda untuk memuat tautan secara langsung (dan jika Anda tidak dapat menyalin dan menempelkannya, Anda harus mengingat URL untuk melakukannya ).
Krause berhati-hati untuk menunjukkan bahwa hanya karena dia menemukan TikTok berlangganan setiap penekanan tombol yang dilakukan pengguna di situs pihak ketiga yang dilihat dalam browser dalam aplikasi mereka, itu tidak berarti dia melakukan “sesuatu yang berbahaya” dengan akses – dia mencatatTidak ada cara bagi pihak ketiga untuk mengetahui detail lengkap tentang jenis data apa yang dikumpulkan, bagaimana, atau apakah data tersebut ditransfer atau digunakan. Namun, perilaku itu sendiri jelas menimbulkan pertanyaan privasi dan risiko bagi pengguna TikTok.
Kami telah menghubungi TikTok tentang kode pelacakan yang disuntikkan ke situs pihak ketiga dan akan memperbarui laporan ini dengan tanggapan apa pun.
Modernisasi: Seorang juru bicara perusahaan sekarang telah mengirimkan pernyataan ini:
“Kesimpulan laporan tentang TikTok tidak benar dan menyesatkan. Peneliti secara khusus mengatakan bahwa kode JavaScript tidak berarti aplikasi kami melakukan sesuatu yang berbahaya, dan mengakui bahwa mereka tidak memiliki cara untuk mengetahui jenis data apa yang dikumpulkan oleh browser dalam aplikasi kami. Bertentangan dengan klaim laporan, kami tidak mengumpulkan penekanan tombol atau memasukkan teks melalui kode ini, yang hanya digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja.”
TikTok berpendapat bahwa entri “tekan tombol” dan “keydown” yang diidentifikasi oleh Krause adalah hal biasa – mengklaim bahwa tidak benar untuk membuat asumsi tentang penggunaannya berdasarkan kode yang disorot oleh penelitian.
Untuk mendukung ini, pembicara menunjukkan beberapa orang yang tidak menggunakan TikTok Kode yang sama dari github Yang mereka sarankan akan menghasilkan respons yang sama dengan penelitian yang dikutip sebagai bukti pengumpulan data yang salah tetapi digunakan untuk menjalankan perintah yang dikenal sebagai ‘StopListening’ yang mereka katakan akan secara khusus mencegah aplikasi mengambil apa yang diketik.
Mereka juga mengklaim bahwa kode JavaScript yang disorot oleh penelitian hanya digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja browser dalam aplikasi untuk meningkatkan pengalaman pengguna, seperti memeriksa seberapa cepat halaman dimuat atau apakah itu mogok. Dia mengatakan bahwa JavaScript yang dimaksud juga merupakan bagian dari SDK yang Anda gunakan – dan klaim tambahan bahwa hanya karena ada kode tertentu tidak berarti perusahaan menggunakannya. Juru bicara itu juga menekankan perbedaan antara izin yang memungkinkan aplikasi untuk mengakses kategori informasi tertentu pada perangkat pengguna (juga dikenal sebagai “menangis”) dibandingkan dengan pengumpulan atau pemrosesan data sesuai dengan kebijakan App Store – menunjukkan banyak item yang terkait dengan kategori informasi dapat dianalisis secara lokal di perangkat tanpa informasi itu sendiri dikumpulkan oleh TikTok.
Seorang juru bicara TikTok juga memberi tahu kami bahwa itu tidak memberi pengguna opsi untuk tidak menggunakan browser dalam aplikasinya karena itu akan membutuhkan perutean mereka di luar aplikasi yang menurut mereka akan membuat pengalaman mereka berat dan kurang lancar.
Dan mereka juga mengulangi Penolakan publik sebelumnya terhadap TikTok bahwa itu terlibat dalam penekanan tombol logging (yaitu menangkap konten) tetapi menyarankan bahwa itu mungkin menggunakan informasi penekanan tombol untuk mendeteksi pola atau ritme yang tidak biasa, seperti apakah setiap karakter yang diketik tepat satu kunci per detik, untuk membantu melindungi dari login palsu, Seperti komentar spam, atau perilaku lain yang dapat mengancam integritas platformnya.
Seorang juru bicara TikTok melanjutkan dengan menyarankan tingkat pengumpulan data yang digunakannya mirip dengan aplikasi lain yang juga mengumpulkan informasi tentang apa yang dicari pengguna di dalam aplikasi untuk dapat merekomendasikan konten yang relevan dan mempersonalisasi layanan.
Mereka mengonfirmasi bahwa pengguna yang menjelajahi konten web dalam aplikasi sedang dilacak untuk personalisasi serupa – seperti memilih video yang relevan untuk ditampilkan di umpan Untuk Anda. TikTok juga dapat mengumpulkan data tentang aktivitas pengguna di tempat lain, di situs web dan aplikasi pengiklan, ketika perusahaan pihak ketiga memilih untuk membagikan data itu kepada mereka, catat mereka.
Krause juga telah menemukan aplikasi meta-proprietary, Instagram, Facebook, dan FB Messenger, untuk memodifikasi situs web pihak ketiga yang dimuat melalui browser aplikasi mereka — dengan perintah “berpotensi berbahaya”, seperti yang dia katakan — dan kami juga telah mendekati raksasa teknologi tersebut. untuk menanggapi temuan.
Privasi dan perlindungan data diatur di Uni Eropa, oleh undang-undang termasuk Peraturan Perlindungan Data Umum (GDPR) dan Petunjuk Privasi Elektronik, sehingga pelacakan apa pun yang dilakukan kepada pengguna di wilayah yang tidak memiliki dasar hukum yang sesuai dapat mengakibatkan sanksi peraturan.
Kedua raksasa media sosial itu telah menjadi sasaran berbagai tindakan, investigasi, dan penegakan UE atas masalah privasi, data, dan perlindungan konsumen dalam beberapa tahun terakhir – dengan sejumlah investigasi yang sedang berlangsung dan Membayangkan beberapa keputusan besar.
Modernisasi: Komisi Perlindungan Data Irlandia, yang merupakan regulator perlindungan data utama untuk Meta dan TikTok di bawah Peraturan Perlindungan Data Umum Eropa, mengatakan kepada TechCrunch bahwa mereka telah meminta pertemuan dengan Meta menyusul laporan media minggu lalu tentang masalah JavaScript. Ia juga mengatakan akan berurusan dengan TikTok terkait masalah ini.
Krause memperingatkan bahwa penyaringan publik entri kode pelacakan JavaScript di browser aplikasi iOS kemungkinan akan mendorong pelaku jahat untuk meningkatkan perangkat lunak mereka agar kode itu tidak terdeteksi oleh peneliti luar — dengan menjalankan kode JavaScript mereka di “Konteks kerangka kerja tertentu dan dunia konten(juga dikenal sebagai WKContentWorld), diperkenalkan oleh Apple sejak iOS 14.3; Memperkenalkan ketentuan ini sebagai tindakan anti-sidik jari, sehingga operator situs web tidak dapat mengganggu kode JavaScript plug-in browser (tetapi teknologi jelas merupakan pedang bermata dua dalam konteks pelacakan kebingungan) – dengan alasan bahwa itu “lebih penting daripada pernah menemukan solusi” untuk menghentikan penggunaan browser khusus dalam aplikasi untuk melihat konten pihak ketiga.
Meskipun beberapa perilaku mengkhawatirkan telah diidentifikasi di aplikasi seluler iOS, platform Apple biasanya disebut-sebut lebih aman untuk privasi daripada alternatif sistem operasi seluler Google, Android – dan perlu dicatat bahwa aplikasi yang mengikuti rekomendasi Apple menggunakan Safari (atau SFSafariViewController) untuk melihat situs web eksternal, Krause menemukan “di sisi aman” – termasuk Gmail, Twitter, WhatsApp, dan banyak lainnya – katanya, metode yang direkomendasikan Cupertino berarti tidak ada cara bagi aplikasi untuk memasukkan kode apa pun ke situs web, termasuk dengan menerbitkan JavaScript yatim piatu yang disebutkan di atas ( yang dapat digunakan untuk menutupi kode pelacakan).
“Pop culture ninja. Social media enthusiast. Typical problem solver. Coffee practitioner. Fall in love. Travel enthusiast.”