Во встроенном в приложение TikTok браузере обнаружился код слежения, который добавляется на каждую просматриваемую страницу. Этот код позволяет отслеживать ввод символов на виртуальной клавиатуре и отправлять результаты своей работы на ресурсы сервиса. Проблему выявил независимый исследователь вопросов кибербезопасности Феликс Краузе (Felix Krause) — ранее он сообщил о наличии подобных инструментов в приложениях Facebook✴ и Instagram✴.
Источник изображения: antonbe / pixabay.com
Господин Краузе сообщил, что iOS-версия TikTok отслеживает ввод текста на всех сайтах, которые просматриваются в приложении — это могут быть пароли, данные банковских карт и прочие конфиденциальные данные. Эксперт не берётся судить, как администрация TikTok распоряжается этим инструментом, однако с уверенностью утверждает, что это самый настоящий кейлоггер — шпионский инструмент, обычно используемый разработчиками и операторами вредоносного ПО.
Ситуация усугубляется тем, что в настройках приложения отсутствует возможность назначить открытие страниц по внешним ссылкам через выбранный по умолчанию браузер устройства. Это значит, что пользователи приложения являются заложниками воли разработчика — в качестве альтернативы остаётся разве что копировать эти ссылки и открывать их отдельно в браузере.
Администрация TikTok отреагировала на публикацию независимого исследования предсказуемо негативно, назвав выводы эксперта «неверными и вводящими в заблуждение». Представители сервиса подчеркнули, что и сам автор не берётся говорить о вредоносной активности приложения, основываясь на одном лишь наличии этого кода, и нет достоверных способов утверждать, какие именно данные с его помощью собираются. Наконец, в TikTok заявили, что данный код используется исключительно для отладки, выявления ошибок и мониторинга производительности, сообщил TechCrunch.