IT之家 8 月 21 日消息,据安全研究员 Felix Krause 称,TikTok 在 iOS 上的自定义 App 内浏览器将 JavaScript 代码注入外部网站,允许 TikTok 在用户与给定网站交互时监控“所有键盘输入和点击”,但据报道 TikTok 公司否认了该代码被用于恶意行为。
Krause 表示,当用户与外部网站交互时,TikTok App 内浏览器会“订阅”所有键盘输入,包括密码和信用卡信息等任何敏感细节,以及屏幕上的每次点击。
“从技术角度来看,这相当于在第三方网站上安装键盘记录器,”Krause 在谈到 TikTok 注入的 JavaScript 代码时写道。然而,研究人员补充说,“仅仅是应用将 JavaScript 注入外部网站,但并不意味着该应用正在做任何恶意的事情。”
在与福布斯分享的一份声明中,TikTok 发言人承认了有问题的 JavaScript 代码,但表示它仅用于调试、故障排除和性能监控,以确保“最佳用户体验”。
“与其他平台一样,我们使用 App 内浏览器来提供最佳用户体验,但所讨论的 Javascript 代码仅用于调试、故障排除和性能监控 —— 例如检查页面加载速度或是否崩溃。”
Krause 表示,希望保护自己免受 App 内浏览器 JavaScript 代码的任何潜在恶意使用的用户应尽可能切换使用平台默认浏览器访问查看给定链接,例如 iPhone 和 iPad 上的 Safari 浏览器。
据 Krause 称,Facebook 和 Instagram 是另外存在问题的两个应用程序,它们将 JavaScript 代码插入到加载在 App 内浏览器中的外部网站中,从而使应用程序能够跟踪用户活动。Facebook 和 Instagram 母公司 Meta 发言人在推文中表示,该公司“有意开发此代码是为了尊重人们在我们平台上的应用跟踪透明度 (ATT) 选择”。《Meta Instagram 被曝通过 App 内浏览器跟踪用户网络活动,已违反苹果 iOS 隐私政策》
Krause 说他创建了简单的工具,允许任何人在呈现网站时检查 App 内浏览器是否正在注入 JavaScript 代码。研究人员表示,用户只需打开他们想要分析的应用程序,在应用程序内的某处分享地址 InAppBrowser.com(例如直接向另一个人发送消息),点击应用程序内的链接即可在-app 浏览器,并阅读显示的报告的详细信息。
苹果没有立即回应置评请求。
TikTok 发言人进一步声明表示,
“该报告关于 TikTok 的结论是不正确且具有误导性的。研究人员明确表示,JavaScript 代码并不意味着我们的应用程序在做任何恶意行为,并承认他们无法知道我们的应用程序内浏览器收集了什么样的数据。我们不会通过此代码收集击键或文本输入,该代码仅用于调试、故障排除和性能监控。”
据 TikTok 发言人称,JavaScript 代码是 TikTok 正在利用的软件开发工具包 (SDK) 的一部分,而 Krause 提到的“keypress”和“keydown”功能是 TikTok 不用于按键记录的常见输入。
