Исследователь Феликс Краузе обнаружил, что iOS-версия TikTok незаметно внедряет код, который может позволить приложению отслеживать все нажатия и вводы с клавиатуры, пишет TechCrunch.
Новый отчёт Краузе выпустил спустя несколько дней после того, как рассказал об аналогичных потенциально вредоносных находках в приложениях Meta (признана экстремистской организацией и запрещена в России) — Instagram и Facebook.
Тогда утверждалось, что каждый раз, когда пользователь нажимает на ссылку в приложении Instagram, социальная сеть способна отслеживать все его взаимодействия.
По словам Краузе, клиент TikTok для iOS отслеживает каждое нажатие клавиш, происходящее на сторонних веб-сайтах, отображаемых при помощи встроенного в приложение браузера.
По его словам, запускаемый код может отслеживать пароли, информации о кредитных картах и другие конфиденциальные данные:
Мы не можем знать, зачем TikTok делает это, но с технической точки зрения это эквивалентно установке кейлоггера на сторонних сайтах.
Исследование показало, что нет никакой возможности предотвратить запуск кода отслеживания, если пользователь открывает ссылки в приложении TikTok. Единственный вариант избежать этого — не использовать встроенный в приложение браузер.
Краузе подчеркнул, что не обязательно TikTok делает что-то вредоносное, но такая находка всё равно вызывает вопросы и риски конфиденциальности.
В самом сервисе заявили, что выводы исследования «неверны и вводят в заблуждение». По уверениям представителя TikTok, наличие указанного Краузе кода JavaScript не означает, что приложение делает что-то вредоносное:
У нас нет возможности узнать, какие данные собирает наш встроенный браузер. Вопреки утверждениям в отчёте, мы не собираем данные о нажатии клавиш или вводе текста через этот код, который используется исключительно для отладки, устранения неполадок и мониторинга производительности.
Влад Войтенко
