IT之家8月21日消息,据安全研究员FlixKraus称,TikTok在iOS上的自定义App内浏览器将JavaScript代码注入外部网站,允许TikTok在用户与给定网站交互时监控“所有键盘输入和点击”,但据报道TikTok公司否认了该代码被用于恶意行为。
Kraus表示,当用户与外部网站交互时,TikTokApp内浏览器会“订阅”所有键盘输入,包括密码和信用卡信息等任何敏感细节,以及屏幕上的每次点击。
“从技术角度来看,这相当于在第三方网站上安装键盘记录器,”Kraus在谈到TikTok注入的JavaScript代码时写道。然而,研究人员补充说,“仅仅是应用将JavaScript注入外部网站,但并不意味着该应用正在做任何恶意的事情。”
在与福布斯分享的一份声明中,TikTok发言人承认了有问题的JavaScript代码,但表示它仅用于调试、故障排除和性能监控,以确保“最佳用户体验”。
“与其他平台一样,我们使用App内浏览器来提供最佳用户体验,但所讨论的Javascript代码仅用于调试、故障排除和性能监控——例如检查页面加载速度或是否崩溃。”
Kraus表示,希望保护自己免受App内浏览器JavaScript代码的任何潜在恶意使用的用户应尽可能切换使用平台默认浏览器访问查看给定链接,例如iPhon和iPad上的Safari浏览器。
据Kraus称,Facbook和Instagram是另外存在问题的两个应用程序,它们将JavaScript代码插入到加载在App内浏览器中的外部网站中,从而使应用程序能够跟踪用户活动。Facbook和Instagram母公司Mta发言人在推文中表示,该公司“有意开发此代码是为了尊重人们在我们平台上的应用跟踪透明度(ATT)选择”。《MtaInstagram被曝通过App内浏览器跟踪用户网络活动,已违反苹果iOS隐私政策》
Kraus说他创建了简单的工具,允许任何人在呈现网站时检查App内浏览器是否正在注入JavaScript代码。研究人员表示,用户只需打开他们想要分析的应用程序,在应用程序内的某处分享地址InAppBrowsr.