De in-app-browser van TikTok kan toetsaanslagen van gebruikers volgen: onderzoek

0
18


“Mijn rapport beweert niet dat de gegevens daadwerkelijk worden gebruikt of vastgelegd”, zei de oprichter van fastlane, dat ontwikkelaars helpt bij het bouwen en vrijgeven van apps.

“[But] in theorie zouden ze die dingen op elk moment in de toekomst kunnen gaan volgen, als ze dat zouden willen.”

Een in-app-browser is een webbrowser binnen een mobiele applicatie, die in plaats van een externe browser te openen, zoals Safari of Edge, koppelingen binnen een app opent, waardoor de gebruiker in het ecosysteem blijft.

Het rapport van de heer Krause, eind vorige week gepubliceerd en door TikTok als “onjuist en misleidend” bestempeld, ontdekte dat wanneer gebruikers een link in de app openen, het zich abonneert op alle toetsenbordinvoer, waaronder wachtwoorden, creditcardinformatie of andere gevoelige informatie, evenals zoals elke tik op het scherm.

“We weten niet waarvoor TikTok het abonnement gebruikt, maar technisch gezien is dit het equivalent van het installeren van een keylogger op websites van derden”, aldus het rapport.

De heer Krause zei dat het gebruikelijk was om dit soort analysesoftware te gebruiken tijdens de ontwikkeling en bètaversies van apps, zodat ontwikkelaars konden leren en analyseren hoe eerdere testers de app gebruikten.

“Dit soort software zou echter geen onderdeel moeten zijn van apps die in productie worden gebruikt”, zei hij.

TikTok heeft meer dan 1 miljard maandelijkse actieve gebruikers en was een van de meest gedownloade apps van 2020 en 2021. In Australië heeft het naar schatting ongeveer 7 miljoen gebruikers.

Tracking door sociale media-apps is niet ongewoon. De bevindingen van de heer Krause suggereren echter dat TikTok verder gaat dan andere apps.

Gebruikersinteracties

Eerder deze maand publiceerde Krause onderzoek dat hij had gedaan naar de in-app-browser van Instagram.

Hij ontdekte dat de Meta-app geïnjecteerde code had waarmee het alle gebruikersinteracties kon volgen, “zoals elke knop en link waarop wordt getikt, tekstselecties, schermafbeeldingen en alle formulierinvoer, zoals wachtwoorden, adressen en creditcardnummers”.

Krause zei in zijn analyse van ongeveer 20 apps dat TikTok de enige was die gebruikers niet toestond de standaardbrowser van hun telefoon te gebruiken bij het openen van een link in de app. Hij merkte op dat sommige tweets die hij heeft ontvangen een knop lieten zien om een ​​externe browser te openen bij het openen van TikTok-advertenties.

“Er zijn problemen met gegevensprivacy en integriteit wanneer je in-app-browsers gebruikt om niet-first-party websites te bezoeken, zoals hoe Instagram en TikTok alle externe websites in hun app laten zien”, aldus het onderzoeksrapport.

“Belangrijker is dat die apps zelden een optie bieden om standaard een standaardbrowser te gebruiken in plaats van de in-app browser. En in sommige gevallen [like TikTok]is er geen knop om de momenteel weergegeven pagina in de standaardbrowser te openen.”

TikTok zei in een verklaring dat de conclusies van het rapport “onjuist en misleidend” waren.

“De onderzoeker zegt specifiek dat de JavaScript-code niet betekent dat onze app iets kwaadaardigs doet, en geeft toe dat ze niet kunnen weten wat voor soort gegevens onze in-app-browser verzamelt.

“In tegenstelling tot wat het rapport beweert, verzamelen we geen toetsaanslagen of tekstinvoer via deze code, die uitsluitend wordt gebruikt voor foutopsporing, probleemoplossing en prestatiebewaking.”

De heer Krause zei specifiek dat zijn onderzoek niet beweert dat tracking plaatsvindt, alleen dat TikTok daartoe in staat is.

Zijn onderzoek draagt ​​bij aan de groeiende bezorgdheid over de TikTok-app, beveiliging en de gegevens die het verzamelt.

TikTok Australia is eigendom van TikTok Ltd, dat is geregistreerd op de Kaaimaneilanden. TikTok Ltd is eigendom van ByteDance Ltd, een Chinese multinational met hoofdkantoor in Peking en gevestigd op de Kaaimaneilanden.

Vorige maand gaf TikTok in een brief toe dat Australische gebruikersgegevens toegankelijk waren voor personeel op het vasteland van China De Australische financiële recensieaan de liberale senator James Paterson.

Aanhoudende zorgen van westerse regeringen en inlichtingendiensten over TikTok, banden tussen moederbedrijf ByteDance en de Chinese Communistische Partij (CCP), en China’s verreikende nationale inlichtingenwet, hebben de groei niet afgeremd.

TikTok ontkent dat de CCP toegang heeft tot gegevens en dat het robuuste beveiligingsprotocollen heeft over wie er toegang toe heeft.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in