Um pesquisador de segurança cibernética descobriu que o aplicativo TikTok está rastreando todas as teclas pressionadas pelo o usuário em páginas da web acessadas por meio de seu navegador.
De acordo com o pesquisador Felix Krause, o TikTok está supostamente injetando código JavaScript em todos os links abertos em seu navegador personalizado no aplicativo para iOS.
Krause afirma que quando o usuário abre um link no aplicativo TikTok para iOS, o usuário passa a ter suas teclas e outras ações gravadas pelo aplicativo intencionalmente.
"Enquanto você está interagindo com o site, o TikTok assina todas as entradas do teclado (incluindo senhas, informações de cartão de crédito etc.) descobertas. O TikTok iOS assina cada pressionamento de tecla (entrada de texto) que ocorre em sites de terceiros, que são renderizados dentro do aplicativo de mídia social, acrescentou. Isso pode incluir senhas, informações de cartão de crédito e outros dados confidenciais do usuário ( pressionar e pressionar a tecla ). Do ponto de vista técnico, isso equivale a instalar um keylogger em sites de terceiros", disse Krause.
"Esta foi uma escolha ativa que a empresa fez. Esta é uma tarefa de engenharia não trivial. Isso não acontece por engano ou aleatoriamente", acrescentou.
TikTok está instalado Keylogger no dispositivo dos usuários?
Krause alerta para a possibilidade do TikTok estar supostamente instalando um "keylogger em sites de terceiros" que grava cada toque em teclas, link, imagem ou outros componentes em sites renderizados dentro do aplicativo.
Ele sustenta isso afirmando que o aplicativo está usando uma função JavaScript para obter detalhes sobre o elemento em que o usuário clicou, como uma imagem (document.elementFromPoint).
No entanto, Krause observa que apesar do TikTok estar rastreando cada tecla pressionada por um usuário em sites de terceiros visualizados em seu navegador, isso não significa que o aplicativo esteja fazendo "algo malicioso".
Isso por que Krause não conseguiu determinar se as teclas digitadas estavam sendo rastreadas ativamente pelo TikTok e se os dados estavam sendo enviados ou não para os servidores do aplicativo.
Para evitar ser rastreado pelo TikTok enquanto navega na web, o pesquisador recomenda abrir links apenas no navegador padrão da plataforma como Safari no iPhone e iPad, ou Chrome no Android.
"Sempre que você abrir um link de qualquer aplicativo, veja se o aplicativo oferece uma maneira de abrir o site exibido atualmente em seu navegador padrão", escreveu Krause.
"Durante essa análise, todos os aplicativos além do TikTok ofereceram uma maneira de fazer isso", acrescentou.
Em resposta, um porta-voz do TikTok reconheceu o código JavaScript em questão, mas negou que a empresa estivesse usando-o no navegador de seu aplicativo para iOS.
O porta-voz ainda acusou Krause de fazer declarações "incorretas e enganosas" sobre o aplicativo e acrescentou que o código é usado apenas para solução de problemas, monitoramento de desempenho e depuração.
"O pesquisador diz especificamente que o código JavaScript não significa que nosso aplicativo está fazendo algo malicioso e admite que eles não têm como saber que tipo de dados nosso navegador do aplicativo coleta", disse o porta-voz.
"Ao contrário das alegações do relatório, não coletamos pressionamentos de tecla ou entradas de texto por meio deste código, que é usado exclusivamente para depuração, solução de problemas e monitoramento de desempenho", acrescentou.
A empresa acrescentou que o código faz parte de um kit de desenvolvimento de software de terceiros, ou SDK, usado por seu aplicativo e inclui recursos que o TikTok não usa.
Além do TikTok, Krause também analisou a coleta de dados do navegador em aplicativos de empresas como Meta, proprietária do Instagram e do Facebook.
Em um tweet, um porta-voz da Meta disse que a empresa "desenvolveu intencionalmente este código para honrar as escolhas de Transparência de Rastreamento de Aplicativos (ATT) das pessoas em nossas plataformas".
Via: Krausefx
