Bezpieczeństwo w sieci

TikTok z dostępem do Twoich haseł. Aplikacja instaluje kod działający jak keylogger

Patryk Koncewicz
8

Uważaj na wewnętrzną przeglądarkę TikToka. Aplikacja śledzi wszystko to, co wpisujesz na ekranowej klawiaturze.

Ulubiona aplikacja influencerów znów dostarcza powodów, żeby trzymać się od niej z daleka. Do zarzutów o udostępnianie wrażliwych danych, zerową moderację i niebezpieczne algorytmy dokładamy oskarżenie o monitorowanie ruchu użytkownika przez wewnętrzną przeglądarkę. Z badania przeprowadzonego przez byłego pracownika Google wynika, że TikTok działa jak keylogger.

TikTok może mieć dostęp do Twoich haseł i danych z kart

Ciemne strony jednej z najbardziej toksycznych aplikacji XXI wieku wracają jak bumerang. Tym razem za sprawą Felixa Krause, specjalisty od bezpieczeństwa mobilnych systemów. Wykrył, że niestandardowa przeglądarka wbudowana w TikToka dla iOS implementuje kod JavaScript do zewnętrznych stron internetowych.

Źródło: Depositphotos

Dzięki temu chińska platforma może monitorować wszystko, co użytkownik wpisuje na klawiaturze. Oznacza to, że wszelkie hasła, poufne informacje, adresy czy dane kart płatniczych podajemy TikTokowi na tacy.

„Z technicznego punktu widzenia jest to odpowiednik zainstalowania keyloggera na stronach internetowych osób trzecich” – Felix Krause

Za każdym razem gdy otwierasz link z poziomu TikToka na iOS, jest on procesowany przez przeglądarkę aplikacji. Od tego momentu apka ma wgląd nie tylko we wpisywane na klawiaturze treści, ale także na dotykową interakcję z ekranem, uwzględniając klikane treści, obrazy i linki. Do czego TikTok wykorzystuje te dane? Tego niestety nie wiadomo. Autor analizy porównuje to do złośliwego oprogramowania typu keylogger, służącego do szpiegowania użytkownika. Co na to przedstawiciele platformy? Cóż, mają swoje wyjaśnienie tej sytuacji.

TikTok przyznaje istnienie kodu, ale zaprzecza niecnym zamiarom

Sprawa dość szybko stała się medialna dzięki podchwyceniu jej przez Forbsa. Maureen Shanahan – dyrektorka ds. Komunikacji w TikTok – na łamach magazynu podzieliła się oficjalnym oświadczeniem firmy:

„Podobnie jak inne platformy, używamy przeglądarki w aplikacji, aby zapewnić optymalne wrażenia użytkownika, ale dany kod JavaScript jest używany tylko do debugowania, rozwiązywania problemów i monitorowania wydajności tego doświadczenia — na przykład sprawdzania, jak szybko strona się ładuje lub czy ulega awarii ”

Zatem TikTok faktycznie potwierdza istnienie kodu szpiegującego użytkowników niczym keylogger, ale w dobrej wierze. Podobne oświadczenia z ust pracowników chińskiej platformy padały już wielokrotnie zatem nie żadnego powodu, aby wierzyć w ich wspaniałomyślne intencje.

Źródło: Depositphotos

Konkurencyjne social media nie są święte. Felix Krause na swojej stronie podał także przykład Facebooka i Instagrama, które wykorzystują podobne praktyki w momencie otwierania linków przy pomocy wewnętrznych przeglądarek. Różnica polega jednak na tym, że aplikacje od Meta zezwalają na użycie zainstalowanych przeglądarek takich jak Chrome czy Safari. W takim wypadku użytkownik unika śledzenia przez „keyloggery” dostawców. TikTok niestety takiego rozwiązania nie oferuje. Zapewne nieprzypadkowo.

Badacz udostępnił także proste narzędzie do wyświetlania listy poleceń JavaScript na iOS. Aby sprawdzić, jak zachowuje się wewnętrzna przeglądarka danej aplikacji, wystarczy udostępnić jej adres URL przykładowo w wiadomości prywatnej. Po kliknięciu linku wyświetli się raport z potencjalnym zagrożeniem.

Jeśli samodzielnie chcecie wcielić się w rolę badacza, to dosyłam pod ten adres, gdzie znajdziecie instrukcję krok po kroku.

Stock image from Depositphotos 

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu