TikTok'un Uygulama İçi Tarayıcısının Yazdığınız Her Şeyi İzleyebildiği Bildirildi

TikTok'un Uygulama İçi Tarayıcısının Yazdığınız Her Şeyi İzleyebildiği Bildirildi

TikTok'un iOS'taki özel uygulama içi tarayıcısının, güvenlik araştırmacısı Felix Krause'a göre, bir kullanıcı belirli bir web sitesiyle etkileşime girerken TikTok'un "tüm klavye girişlerini ve dokunuşlarını" izlemesine izin veren harici web sitelerine JavaScript kodu enjekte ettiği bildiriliyor, ancak TikTok'un bunu reddettiği bildiriliyor. kod kötü niyetli nedenlerle kullanılır.

Krause, TikTok'un uygulama içi tarayıcısının, bir kullanıcı harici bir web sitesiyle etkileşime girdiğinde, şifreler ve kredi kartı bilgileri gibi hassas ayrıntılar ve ekrandaki her dokunuş dahil olmak üzere tüm klavye girişlerine "abone olduğunu" söyledi.

Krause, TikTok'un enjekte ettiği JavaScript koduyla ilgili olarak, "Teknik açıdan bu, üçüncü taraf web sitelerine bir keylogger yüklemeye eşdeğerdir" diye yazdı. Ancak araştırmacı, "bir uygulamanın JavaScript'i harici web sitelerine enjekte etmesi, uygulamanın kötü niyetli bir şey yaptığı anlamına gelmez" diye ekledi.

Forbes ile paylaşılan bir açıklamada, bir TikTok sözcüsü söz konusu JavaScript kodunu kabul etti, ancak "optimum kullanıcı deneyimi" sağlamak için yalnızca hata ayıklama, sorun giderme ve performans izleme için kullanıldığını söyledi.

"Diğer platformlar gibi, optimum kullanıcı deneyimi sağlamak için bir uygulama içi tarayıcı kullanıyoruz, ancak söz konusu Javascript kodu yalnızca hata ayıklama, sorun giderme ve bu deneyimin performans izlemesi için kullanılıyor - örneğin bir sayfanın ne kadar hızlı yüklendiğini veya çöküp çökmediğini kontrol etmek gibi Forbes'ın haberine göre," denildi.

Krause, kendilerini uygulama içi tarayıcılarda JavaScript kodunun olası kötü niyetli kullanımından korumak isteyen kullanıcıların, mümkünse iPhone ve iPad'deki Safari gibi platformun varsayılan tarayıcısında belirli bir bağlantıyı görüntülemeye geçmeleri gerektiğini söyledi.

Krause, "Herhangi bir uygulamadan bir bağlantı açtığınızda, uygulamanın şu anda gösterilen web sitesini varsayılan tarayıcınızda açmanın bir yolunu sunup sunmadığına bakın" diye yazdı. "Bu analiz sırasında, TikTok dışındaki her uygulama bunu yapmanın bir yolunu sundu."

Facebook ve Instagram, uygulama içi tarayıcılarına yüklenen harici web sitelerine JavaScript kodu ekleyen ve uygulamalara Krause'a göre kullanıcı etkinliğini izleme yeteneği veren diğer iki uygulama. Bir tweet'te, Facebook ve Instagram ana şirketi Meta'nın sözcüsü, şirketin "bu kodu, insanların platformlarımızdaki Uygulama İzleme Şeffaflığı (ATT) seçimlerini onurlandırmak için kasıtlı olarak geliştirdiğini" söyledi.

Krause, herkesin bir web sitesi oluştururken bir uygulama içi tarayıcının JavaScript kodu enjekte edip etmediğini kontrol etmesine olanak tanıyan basit bir araç oluşturduğunu söyledi. Araştırmacı, kullanıcıların analiz etmek istedikleri bir uygulamayı açmaları, InAppBrowser.com adresini uygulamanın içinde bir yerde (örneğin başka bir kişiye doğrudan mesaj olarak) paylaşmaları, uygulamanın içindeki bağlantıya dokunmaları gerektiğini söyledi. -app tarayıcısı ve gösterilen raporun ayrıntılarını okuyun.

Apple, yorum talebine hemen yanıt vermedi.