Browser dalam aplikasi TikTok berisi kode untuk melacak aktivitas pengguna

Browser dalam aplikasi TikTok berisi kode untuk melacak aktivitas pengguna

Seorang wanita dengan kemeja hitam, mantel dan celana memegang logo TikTok di sebelah kanannya.

Model Trixi Giese berpose dengan logo TikTok di peragaan busana baru-baru ini di Jerman. Perusahaan media sosial itu mendapat kecaman karena data yang seharusnya dikumpulkan dari penggunanya.
Foto: Adam Berry (Gambar Getty)

Centang untukock pergi jam. Sepertinya setiap hari kami menemukan lebih banyak contoh cara beberapa aplikasi media sosial paling populer mengumpulkan data pengguna. Sekarang TikTok sendiri tampaknya cukup ketat dengan tuduhan itu mereka pengguna keylogging menggunakan kode yang ditemukan di browser dalam aplikasi.

Peneliti keamanan Felix Krause menulis pada hari Kamis posting blog bahwa ada beberapa aplikasi yang memodifikasi halaman menggunakan JavaScript, tetapi satu aplikasi yang sangat populer khususnya tampaknya paling mengganggu. Krause menulis bahwa kode yang ditemukan jauh di dalam perut TikTok memiliki kemampuan untuk memantau semua input dan ketukan keyboard, atau dikenal sebagai keylogging.

TikTok tidak memberi pengguna kemampuan untuk membuka tautan di perangkat mereka’Browser tetap. Peneliti mengatakan bahwa pada perangkat iOS, TikTok memiliki kemampuan untuk memodifikasi halaman dan menggunakan kode JavaScript untuk mengambil metadata, yang dengan sendirinya tidak menjadi perhatian besar karena tidak banyak mengukur aktivitas pengguna. Namun, menggunakan alat yang dikembangkannya, Krause dapat menemukan kode JavaScript tambahan yang mampu mencatat setiap input teks dan setiap klik. Jadi ketika Anda mengklik tautan di aplikasi sosial, kode keylogging memiliki kemampuan untuk menyimpan kata sandi atau bahkan informasi kartu kredit. Itu dapat melacak tautan yang Anda klik atau pesan yang mungkin Anda kirim ke teman, selama Anda menggunakan browser dalam aplikasi.

Krause memamerkan pekerjaan rumahnya, menceritakan apa yang sebenarnya berkode dia menemukan itu berhubungan dengan keylogging. Semua fungsi “tekan tombol” atau “keydown” melacak penekanan tombol. Peristiwa “Bongkar” mengacu pada saat Anda bernavigasi dari halaman ke halaman, yang berarti aplikasi mengetahui kapan Anda pindah.

TikTok mengatakan kepada wartawan bahwa sementara kode dimuat di aplikasi, mereka “tidak menggunakannya” kecuali untuk debugging dan pemecahan masalah. Dalam sebuah pernyataan yang dikirim ke Gizmodo, juru bicara TikTok mengatakan, “Temuan laporan TikTok tidak benar dan menyesatkan. Peneliti secara khusus mengatakan bahwa kode JavaScript tidak berarti aplikasi kami melakukan sesuatu yang berbahaya, dan mengakui bahwa mereka tidak memiliki cara untuk mengetahui jenis data yang dikumpulkan oleh browser dalam aplikasi kami. Bertentangan dengan klaim laporan, kami tidak mengumpulkan pengetikan atau input teks melalui kode ini, yang hanya digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja.

Ari Lightman, a professor of digital media and marketing at Carnegie Mellon University, told Gizmodo in a phone interview that he doesn’t fully buy the claims TikTok is selling about its JavaScript code. While there are certainly security and user-experience components to why this code exists, social media companies make a good amount, if not the vast majority of their profits from advertising, and user data is a big part of that.

“One of the common factors is they don’t want you to go off the platform,” Lightman said. “Users often don’t find their way back, and [TikTok] tidak dapat mengumpulkan data saat mereka ingin memonetisasi platform… begitulah cara mereka memonetisasi informasi – dengan mengumpulkan lebih banyak kebutuhan, keinginan, dan profil kepribadian pengguna.

Perusahaan mengatakan kode JavaScript adalah bagian dari perangkat pengembangan perangkat lunak, AKA SDK, dan tidak menggunakan kode itu dari jarak jauh. SDK dibangun oleh pihak ketiga yang menyertakan kode keylogging, menurut perusahaan, yang belum aktif dalam repertoar perusahaan yang ada. pelacakan pengguna kapasitas.

Mereka bahkan mengatakan bahwa berani mengarahkan pengguna ke browser di luar aplikasi mereka hanya akan menjadi pengalaman buruk bagi pengguna, yang tentu saja merupakan argumen yang sangat merendahkan yang lupa bahwa siapa pun dengan perangkat mereka sendiri dapat memilih untuk mengunduh. terlepas dari browser mereka pikir itu paling cocok untuk mereka.

Meskipun Lightman juga skeptis dengan alasan TikTok di sini. Perusahaan seperti TikTok, yang dimiliki oleh ByteDance, “sangat baik dalam mengembangkan model pembelajaran mesin. Hal-hal ini [like the company’s SDK] diuji, dianalisis, dan diteliti dengan sangat hati-hati,” yang membuat gagasan bahwa TikTok akan meninggalkan kode itu di sana tanpa menggunakannya “sulit untuk ditelan.”

Krause mengatakan penelitiannya tidak dapat mengatakan apakah TikTok atau perusahaan lain secara aktif menggunakan kode JavaScript ini untuk melacak pengguna, tetapi fakta bahwa itu ada di tempat pertama memberi beban tambahan pada perusahaan yang secara teratur menunjukkan bahwa seseorang tidak dapat mempercayai mereka. . data pengguna. Peneliti sebelumnya telah menulis pada kode JavaScript di aplikasi seperti Instagram dan Facebook yang dapat digunakan untuk melacak hampir semua aktivitas pengguna saat menggunakan browser web dalam aplikasi yang menggunakan kode JavaScript. Dia mengatakan kode tersebut dapat memantau semua interaksi, pemilihan teks dan klik, bahkan ketika Anda mengklik iklan. Dalam pembaruan terbaru ini, peneliti juga menemukan bahwa Instagram di iOS berlangganan dengan setiap penekanan tombol dan setiap tautan yang diberikan di aplikasi. Ia bahkan tahu ketika Anda memilih bidang teks di situs web pihak ketiga.

Di sebuah pernyataan tweet minggu laluJuru bicara Meta Andy Stone menulis bahwa klaim peneliti itu “salah menggambarkan” cara kerja peramban bawaan Meta.

Dan seolah-olah semua itu belum cukup, Krause menulis bahwa aplikasi ini memiliki kemampuan untuk menyembunyikan JavaScript mereka menggunakan alat iOS yang sudah ada, yaitu a DuniaKonten WK kode sehingga situs web tidak dapat mengganggu kode JavaScript. Jika salah satu dari perusahaan ini ingin menyembunyikan aktivitas mereka dari situs web atau pencaris alat, mereka bisa, dan cukup mudah pada saat itu.

“Perusahaan teknologi yang masih menggunakan browser built-in kustom akan sangat cepat memperbarui untuk menggunakan sistem JavaScript terisolasi WKContentWorld baru, sehingga kode mereka menjadi tidak terdeteksi oleh kami,” tulis Krause dalam posting blognya.

Apple tidak segera menanggapi permintaan Gizmodo untuk mengomentari apakah itu akan mengubah salah satu fitur iOS-nya untuk mencegah aplikasi memasukkan skrip keylogging atau untuk mencegah aplikasi menyembunyikan fakta bahwa mereka mengeksekusi kode tersebut.

TikTok telah mengalami banyak panas dari pendukung privasi internet dan anggota parlemen di kedua sisi lorong (meskipun, seperti yang Anda duga, itu karena alasan yang berbeda) setelah laporan yang menuduh bahwa staf TikTok mengetahui data AS yang dikumpulkan oleh pejabat pemerintah Cina. Laporan Gizmodo baru-baru ini berdasarkan dokumen internal menunjukkan bahwa TikTok bekerja lembur untuk memperkecil identitas baru mereka sebagai perusahaan yang menawarkan data pengguna kepada raksasa pengumpulan data persetan itu beijing. Legislator di Capitol Hsakit mungkin akan berlalu undang-undang privasi data besar-besarantetapi beberapa skeptis itu akan berlalu sebelum tenggat waktu semakin dekat.

“Di masa depan kita akan melihat undang-undang privasi dan lebih banyak auditundang-undang untuk memverifikasi itu, ”kata Lightman. “Dalam platform terverifikasi, jika mereka melakukannya untuk ekonomi, mereka harus menetapkan bahwa jika mereka melakukannya untuk pengalaman pengguna, itu juga bagus. Menjadi buram dengan rasionalitas yang membuat orang berkata “tunggu sebentar …” Anda harus terbuka dengan apa rencana Anda.

READ  iphone: Apple telah menambahkan iPhone ini ke daftar produk "vintage"
Written By
More from Kaden Iqbal
WWDC 2022: Peluncuran MacBook Pro M2 13-inci baru tidak mungkin dilakukan bersamaan dengan MacBook Air
WWDC 2022 akan ditayangkan hari ini pada pukul 22:30 IST. Acara Apple...
Read More
Leave a comment

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *