TikTok heeft de mogelijkheid om elke tik op je scherm te volgen terwijl je bladert in de iOS-app, inclusief getypte wachtwoorden en aangeklikte links, volgens nieuw onderzoek van software-ingenieur Felix Krause.
Browsen in de app verwijst naar elke activiteit op sites van derden die in de app worden geopend in plaats van in een extern venster.
Op donderdag heeft Krause een rapport uitgebracht waarin de JavaScript-code wordt onderzocht die sociale-mediaplatforms injecteren in sites van derden waarmee het de activiteit van gebruikers kan volgen.
Krause’s beveiligingstool, InAppBrowser.com, onthulde dat de TikTok iOS-app de mogelijkheid heeft om alle toetsaanslagen, tekstinvoer en schermtikken te controleren, waaronder gevoelige persoonlijke gegevens zoals creditcardgegevens en wachtwoorden.
Krause merkte echter op dat “het feit dat een app JavaScript in externe websites injecteert, niet betekent dat de app iets kwaadaardigs doet”.
“We kunnen op geen enkele manier de volledige details weten over wat voor soort gegevens elke in-app-browser verzamelt, of hoe – of als – de gegevens worden overgedragen of gebruikt”, zei hij.
Wanneer ze een website openen vanuit de TikTok iOS-app, injecteren ze code die elke toetsenbordinvoer kan observeren (waaronder creditcardgegevens, wachtwoorden of andere gevoelige informatie)
TikTok heeft ook code om alle tikken te observeren, zoals het klikken op knoppen of links. pic.twitter.com/Dcv0N4ccKD
— Felix Krause (@KrauseFx) 18 augustus 2022
Priyadarsi Nanda van de University of Technology Sydney’s School of Electrical and Data Engineering zei dat het verzamelen van informatie over toetsaanslagen sterk lijkt op het gedrag van keyloggers, een soort malware.
“Welke website je ook bezoekt, het vereist jouw input”, zei hij. “Dit is zeker een punt van zorg voor elke app die je niet vertrouwt.”
Een woordvoerder van TikTok vertelde Guardian Australia dat de “conclusies van het rapport over TikTok onjuist en misleidend zijn”.
“De onderzoeker zegt specifiek dat de JavaScript-code niet betekent dat onze app iets kwaadaardigs doet, en geeft toe dat ze niet kunnen weten wat voor soort gegevens onze in-app-browser verzamelt”, aldus de woordvoerder.
“In tegenstelling tot wat het rapport beweert, verzamelen we geen toetsaanslagen of tekstinvoer via deze code, die uitsluitend wordt gebruikt voor foutopsporing, probleemoplossing en prestatiebewaking.”
Naast TikTok beoordeelde Krause de iOS-apps van Instagram, Facebook, Facebook Messenger, Amazon, Snapchat en Robinhood. TikTok was de enige app die gebruikers niet de mogelijkheid bood om over te schakelen van in-app-browsing naar een externe browser bij toegang tot sites van derden.
“TikTok had de meest uitgebreide bewakingsmogelijkheden”, zegt Uri Gal, hoogleraar bedrijfsinformatiesystemen aan de Universiteit van Sydney.
“Veel mensen die de app gebruiken, zijn zich niet bewust van de surveillance die over hen wordt uitgevoerd binnen [it]. Het gebruikersbestand van TikTok is veel jonger dan dat van Facebook en Instagram … dat maakt ze veel kwetsbaarder.”
Gal zei dat TikTok “een ander soort risico met zich meebrengt” vanwege de vermoedelijke banden van moederbedrijf ByteDance met de Chinese communistische partij.
De bewakingsfunctionaliteit kan worden gebruikt om “zoveel mogelijk informatie te verzamelen voor industriële spionagedoeleinden en om de publieke opinie vorm te geven die meer in de richting van hun belangen is”, zei hij.
Een rapport dat in juli door het Australisch-Amerikaanse cyberbeveiligingsbedrijf Internet 2.0 werd uitgebracht, waarschuwde dat de Chinese overheid de app zou kunnen gebruiken om persoonlijke informatie te verzamelen, van in-app-berichten tot apparaatlocaties.
ByteDance heeft in het verleden een connectie met de Chinese regering ontkend en noemde de claim “verkeerde informatie” nadat verschillende lekken suggereerden dat het materiaal censureert dat niet in overeenstemming is met de doelstellingen van het Chinese buitenlands beleid of de mensenrechtensituatie van het land vermeldt.
Krause’s onderzoek wees uit dat Instagram ook de mogelijkheid heeft om schermtikken te volgen, zoals wanneer gebruikers op een afbeelding klikken.
“Er zijn problemen met gegevensprivacy en integriteit wanneer je in-app-browsers gebruikt … zoals hoe Instagram en TikTok alle externe websites in hun app laten zien”, schreef Krause in het rapport.
Gal zei dat de praktijken van Instagram en Facebook bijna net zo uitgebreid zijn als die van TikTok.
“Hun primaire motivatie is bijna puur commercieel en financieel, terwijl er bij TikTok een nationaal veiligheidselement is waarvan ik denk dat het niet direct aanwezig is bij de anderen.”
Een woordvoerder van het moederbedrijf van Instagram, Meta, zei dat “in-app-webbrowsers in de hele branche gebruikelijk zijn”.
“Bij Meta gebruiken we in-app-browsers om veilige, gemakkelijke en betrouwbare ervaringen mogelijk te maken, zoals ervoor zorgen dat automatisch aanvullen correct wordt ingevuld of voorkomen dat mensen worden omgeleid naar kwaadaardige sites”, aldus de woordvoerder.
“Het toevoegen van een van dit soort functies vereist extra code. We hebben deze ervaringen zorgvuldig ontworpen om de privacykeuzes van gebruikers te respecteren, inclusief hoe gegevens kunnen worden gebruikt voor advertenties.”
In een verklaring van TikTok die is opgenomen in het rapport van Krause, zei woordvoerder Maureen Shanahan: “Net als andere platforms gebruiken we een in-app-browser om een optimale gebruikerservaring te bieden. … zoals controleren hoe snel een pagina wordt geladen of dat deze crasht.”
Nanda zei dat de sociale-mediaplatforms niet onthullen hoeveel persoonlijke gegevens bij het bedrijf blijven en of deze met derden worden gedeeld.
“Ze kunnen die informatie doorgeven aan externe serviceproviders, wat essentieel is voor het lanceren van geavanceerde aanvallen van welke aard dan ook”, zei Nanda, wijzend op hacks die gegevens stelen, zoals creditcardgegevens, en malware-aanvallen die computers bevriezen of bestanden vergrendelen. “Dat is het echte risico.”