TikTok kan elke tik, toetsenbordinvoer en toetsaanslag van zijn gebruikers volgen via zijn iOS-in-app-browser.
Ex-Google-ingenieur en privacyonderzoeker Felix Krause publiceerde donderdag een rapport waaruit bleek dat wanneer TikTok-gebruikers een website binnenkomen via een link in de iOS-app, TikTok code invoegt die een groot deel van hun activiteit op deze externe websites kan volgen.
De tracking zou het voor TikTok mogelijk maken om de creditcardgegevens of het wachtwoord van een gebruiker vast te leggen.
🔥 Nieuw bericht: aankondiging van InAppBrowser – kijk welke JavaScript-opdrachten worden geïnjecteerd via een in-app-browser
👀 TikTok injecteert bij het openen van een website in hun app trackingcode die alle toetsaanslagen, inclusief wachtwoorden, en alle tikken kan volgen.https://t.co/TxN1ezZX71 pic.twitter.com/pQcX5vrEXc
— Felix Krause (@KrauseFx) 18 augustus 2022
Krause’s beveiligingstool, InAppBrowser.com, toonde aan dat TikTok de mogelijkheid heeft om deze activiteit te volgen omdat het regels van de programmeertaal JavaScript injecteert in de websites die worden bezocht via de in-app browser, waardoor nieuwe opdrachten worden gecreëerd die TikTok waarschuwen voor wat mensen doen op die websites.
TikTok kan deze activiteit volgen door regels van de programmeertaal JavaScript te injecteren in de websites die binnen de app worden bezocht, waardoor nieuwe opdrachten worden gemaakt die TikTok waarschuwen voor wat mensen op die websites doen.
“Dit was een actieve keuze van het bedrijf”, zegt Krause. “Dit is een niet-triviale technische taak. Dit gebeurt niet per ongeluk of willekeurig.”
Wanneer ze een website openen vanuit de TikTok iOS-app, injecteren ze code die elke toetsenbordinvoer kan observeren (waaronder creditcardgegevens, wachtwoorden of andere gevoelige informatie)
TikTok heeft ook code om alle tikken te observeren, zoals het klikken op knoppen of links. pic.twitter.com/Dcv0N4ccKD
— Felix Krause (@KrauseFx) 18 augustus 2022
Voor zijn onderzoek testte Krause zeven iPhone-apps die in-app-browsers gebruiken: TikTok, Facebook, Facebook Messenger, Instagram, Snapchat, Amazon en Robinhood. Hij heeft de Android-versies van deze apps niet getest.
Van de zeven apps die Krause heeft getest, is TikTok de enige die toetsaanslagen lijkt te volgen en meer activiteit leek te monitoren dan de rest.
Hoewel uit het onderzoek van Krause blijkt dat de codebedrijven, waaronder TikTok en Facebook-moeder Meta, in websites injecteren vanuit hun in-app-browsers, toont het onderzoek niet aan dat deze bedrijven die code daadwerkelijk gebruiken om gegevens te verzamelen en naar hun servers te verzenden of te delen met derden.
Krause merkt echter op dat “het feit dat een app JavaScript in externe websites injecteert, niet betekent dat de app iets kwaadaardigs doet”.
“We kunnen op geen enkele manier de volledige details weten over wat voor soort gegevens elke in-app-browser verzamelt, of hoe en of de gegevens worden overgedragen of gebruikt”, voegt Krause eraan toe.
https://t.co/KwZ3dtKyQf – een nieuwe tool die ik heb gebruikt om de in-app-browsers van apps (die ze gebruiken) te onderzoeken om te zoeken naar externe JavaScript-code die wordt geïnjecteerd. pic.twitter.com/XSdXOpXYlq
— Felix Krause (@KrauseFx) 18 augustus 2022
In een verklaring gedeeld met ForbesTikTok-woordvoerder Maureen Shanahan de betreffende JavaScript-code heeft erkend. Shanahan verwierp echter sterk het idee dat TikTok gebruikers volgde in zijn in-app-browser.
“Net als andere platforms gebruiken we een in-app-browser om een optimale gebruikerservaring te bieden, maar de Javascript-code in kwestie wordt alleen gebruikt voor debugging, probleemoplossing en prestatiebewaking van die ervaring, zoals controleren hoe snel een pagina wordt geladen of crasht,” vertelt Shanahan Forbes.
Deze mogelijkheid om de activiteit van gebruikers op verschillende websites te volgen, is niet beperkt tot TikTok. Vorige week onthulde Krause dat Meta, het moederbedrijf van Instagram en Facebook, code heeft geïnjecteerd in websites die gebruikers bezoeken, zodat het bedrijf ze op internet kan volgen nadat ze op links in zijn apps hebben geklikt.
Afbeeldingscredits: Headerfoto gelicentieerd via Depositphotos.