Een beveiligingsonderzoeker heeft alarm geslagen over de TikTok-browser die is ingebed in de populaire app, met bewijs dat deze in staat is toetsaanslagen te volgen. Het bedrijf reageerde op het rapport door te bevestigen dat de mogelijkheid bestaat in de code van de app, maar dat deze niet actief is en alleen intern wordt gebruikt voor foutopsporing en testdoeleinden.
Beveiligingsonderzoeker Felix Krause, een voormalig Google-ingenieur, merkt op dat zelfs het hebben van deze mogelijkheid in een app hoogst ongebruikelijk is en iets dat meestal alleen wordt gedaan door malware en spyware. Hoewel TikTok momenteel niet actief toetsaanslagen lijkt te volgen, is het mogelijk om dit te doen wanneer de gebruiker op een externe link in de app klikt.
TikTok-browser bevat code die toetsaanslagen van gebruikers kan registreren bij het bezoeken van webpagina’s
Een aantal berichten- en winkel-apps hebben geïntegreerde webbrowsers ingebouwd om gebruikers binnen de app te houden wanneer ze externe links volgen die zijn opgenomen in productpromoties of die door andere gebruikers zijn gepost. De app-browser wordt over het algemeen geactiveerd wanneer de gebruiker op een link in de app klikt.
Krause presenteerde het onderzoek als onderdeel van zijn promotie voor InAppBrowser.com, een nieuwe service die identificeert welke JavaScript-commando’s deze in-app-browsers injecteren wanneer webpagina’s worden geladen. Andere grote browsers van dit type wijzigen zowel de webpagina als een soort JavaScript invoegen: Instagram, Facebook, Facebook Messenger en Amazon zijn de grootste voorbeelden. Maar de meeste hiervan zijn voor niet-kwaadwillende doeleinden, zoals het integreren van app-functies en functionaliteit met de externe webpagina. De TikTok-browser was de enige onderzochte browser die toetsaanslagen kon volgen, iets dat kon worden gebruikt om inloggegevens van gebruikers, creditcardnummers en privéberichten vast te leggen.
Sommige andere apps, zoals Instagram, houden alles bij waar de gebruiker op tikt of selecteert voor reclame- en analysedoeleinden. De TikTok-browser gaat nog een stap verder door elke toetsenbordinvoer te bewaken, samen met alle tikken en hoogtepunten / selecties. Het is gebruikelijk dat app-ontwikkelaars tools implementeren voor het volgen van toetsaanslagen terwijl ze de app tijdens de ontwikkeling testen, zoals TikTok beweert dat dit bedoeld is, maar deze functionaliteit wordt bijna altijd verwijderd in het uiteindelijke openbare product. Krause zei dat hij geen bewijs kon vinden dat de TikTok-browser actief informatie aan het loggen was, maar dat het ook niet mogelijk was om de mogelijkheid uit te sluiten.
Dit is het tweede incident voor TikTok met twijfelachtige en invasieve houtkap in de afgelopen jaren. In 2020 bleek de app constant iOS-klemborden te scannen op tekst of items die waren geknipt/gekopieerd en geplakt. In maart 2020 verklaarde TikTok dat het dit uit de app zou verwijderen, maar uit vervolgonderzoek later in het jaar bleek dat het nog steeds aan de gang was.
Mogelijkheid van ByteDance-tracering van toetsaanslagen draagt bij aan toenemende beveiligingsproblemen over TikTok
De TikTok-browser is slechts het nieuwste beveiligings- en privacyprobleem dat naar voren is gekomen, aangezien het bedrijf al lang onder de loep wordt genomen vanaf het begin als Musical.ly. In de loop van de tijd zijn de problemen met TikTok geëvolueerd van hoe het omgaat met de persoonlijke gegevens van minderjarigen op het platform tot hoeveel toegang zijn personeel in China (en bij uitbreiding de nationale overheid) mogelijk heeft voor gebruikers in de VS en andere landen. Een recent intern lek van het bedrijf bracht ingenieurs, personeel en aannemers aan het licht die de toegang tot Amerikaanse gebruikersinformatie bespraken door ingenieurs in China, een mogelijkheid die verondersteld werd te zijn geëlimineerd toen TikTok werd bedreigd met deplatforming door de Trump-regering.
Hoewel het onmogelijk is om met zekerheid te zeggen of TikTok toetsaanslagen bijhoudt om informatie te loggen, heeft het bedrijf gezegd dat het het tempo en de cadans van typen analyseert als middel om botactiviteit en andere veiligheidsrisico’s te detecteren (het bedrijf zegt dat geautomatiseerde scripts hebben soms veelbetekenende tekens van deze aard, zoals het altijd verschijnen om toetsen met uniforme tijdsintervallen in te drukken). Het TikTok-browserrapport trekt echter al enige regelgevende controle, waarbij de Ierse Commissie voor gegevensbescherming zegt dat de bevindingen hebben geleid tot een ontmoeting met zowel TikTok als Meta over het probleem.
Verdedigen tegen deze stukjes verborgen code (en de mogelijkheid dat apps toetsaanslagen erdoorheen volgen) kan zo simpel zijn als alleen weblinks openen in een vertrouwde browser, zoals Safari, maar de meeste ingebouwde app-browsers maken dit op zijn minst enigszins moeilijk. Zowel TikTok als Meta’s familie van apps vereisen bijvoorbeeld dat je eerst hun in-app-browser opent om de instellingen te wijzigen en in plaats daarvan een externe browser links te laten openen. Het kan ook wat zoeken door menu’s vergen om deze instellingen te vinden. Krause’s InAppBrowser kan deze in-app browsers ook controleren op eventuele invoeging van JavaScript, maar hij merkt op dat deze code ook verborgen kan worden.