TikTok-Samsung-Stemdrop
(źródło: pixabay.com)

Uważaj, co wpisujesz na TikToku – aplikacja może podglądać nawet Twoje hasła!

Przyzwyczailiśmy się do tego, że oddajemy część swojej prywatności aplikacjom, które zbierają rozmaite dane na nasz temat. Zdecydowana większość z nich dzięki zebranym informacjom personalizuje treści oraz dostosowuje swoje działanie specjalnie pod preferencje użytkownika i jest to nam jak najbardziej na rękę. Są jednak sytuacje, gdy śledzenie nas przez aplikacje budzi sporo wątpliwości. Według badacza bezpieczeństwa Felixa Krause, TikTok jest w stanie monitorować wszystko, co naciśniemy na klawiaturze.

Właśnie w ten sposób TikTok śledzi użytkowników

Felix Krause sprawdził konkretniej, jak sytuacja wygląda w przypadku wersji na system iOS. Kiedy użytkownicy wchodzą na stronę internetową za pomocą linku, który znajduje się w aplikacji, TikTok wstawia specjalny kod JavaScript do zewnętrznych stron internetowych.

Badacz twierdzi, że kod może pozwolić aplikacji monitorować większość aktywności użytkowników na tych zewnętrznych stronach internetowych, w tym ich naciśnięcia klawiszy i cokolwiek, co klikną na stronie. Takie śledzenie umożliwiłoby programowi nawet przechwycenie informacji o karcie kredytowej lub hasłach wpisywanych przez użytkowników.

tiktok kod
Kod JavaScript w przeglądarce TikToka (źrodło: Felix Krause)

To wszystko jest możliwe dzięki temu, że aplikacja nie otwiera strony w zwykłych przeglądarkach, takich jak Safari czy Chrome. Zamiast tego domyślnie używa przeglądarki wbudowanej w aplikację TikTok, która może dodawać dodatkowe skrypty do stron internetowych. Kause dodaje, że z technicznego punktu widzenia jest to odpowiednik zainstalowania keyloggera, czyli wirusa, który zbiera wszystkie wprowadzane na klawiaturze dane i przesyła je do cyberprzestępców.

Co na to właściciele aplikacji?

Austriacki badacz bezpieczeństwa podkreśla, że kod nie znalazł się tam przypadkowo, a jest to świadomy wybór, którego dokonała firma. Do całej sytuacji odniósł się rzecznik TikToka, który w oświadczeniu przesłanym do Forbes stwierdził, że budzący u badacza wątpliwości kod JavaScript jest używany tylko do debugowania, rozwiązywania problemów i monitorowania wydajności, aby zapewnić „optymalne wrażenia użytkownika” i nie jest wykorzystywany do śledzenia oraz zbierania danych od użytkowników.

Po co w takim razie taki kod został wszyty w aplikację TikTok? Nie wiem jak Was, ale mnie tłumaczenie rzecznika firmy ani trochę nie przekonuje. Felixa Krause podaje również przykłady innych aplikacji, które modyfikują kod stron podczas przeglądania ich we wbudowanej w aplikacji przeglądarce.

Strony modyfikują też Facebook, Messenger i Instagram, jednak te aplikacje dają możliwość otworzenia linku w domyślnej przeglądarce, np. w Safari czy Chrome. TikTok nie oferuje przycisku, który by to zapewniał – pozostaje ręczne przekopiowanie linku i otwarcie go w innej przeglądarce.