(纳闻记者赵晓辉报导)
据一位曾在谷歌和推特工作的研究人员称,TikTok 会使用其在苹果设备上的应用内浏览器记录用户的击键,包括密码和信用卡号。
应用程序开发人员和隐私研究员 Felix Krause 发布了一份关于将 JavaScript 代码注入第三方浏览器的一些 iOS 应用程序相关风险的报告。
在分析的七款最受欢迎的 iOS 应用程序中,总部位于北京的 TikTok 是唯一一款不让用户选择使用第三方浏览器打开链接的应用程序。
Klause 发现 TikTok 的 iOS 应用程序“监控网站上发生的所有点击,包括对所有按钮和链接的点击”,通过其应用内浏览器访问。
“TikTok iOS 订阅在 TikTok 应用程序内呈现的第三方网站上发生的每一次击键(文本输入)。 这可能包括密码、信用卡信息和其他敏感的用户数据(按键和按键),”克劳斯写道。
“我们无法知道 TikTok 将订阅用于什么目的,但从技术角度来看,这相当于在第三方网站上安装键盘记录器。”
TikTok 确认该代码存在于其 iOS 应用程序中,但声称它没有使用它。
“与其他平台一样,我们使用应用内浏览器来提供最佳用户体验,但所讨论的 Javascript 代码仅用于调试、故障排除和性能监控——例如检查页面加载速度或是否加载崩溃,”TikTok 发言人 Maureen Shanahan 在克劳斯获得的一份声明中说。
Klause 使用他开发的名为 InAppBrowser.com 的工具分析了 TikTok、Facebook、Instagram、Snapchat、亚马逊、Robinhood 和 Messenger。
根据报告,只有 Snapchat 和 Robinhood 没有注入任何 JavaScript 代码。 Facebook、Instagram 和 Messenger 注入了一些代码,但克劳斯表示“并不意味着该应用程序正在做任何恶意的事情”。
“仅仅因为应用程序将 JavaScript 注入外部网站,并不意味着该应用程序正在做任何恶意的事情。 我们无法了解每个应用内浏览器收集的数据类型,或者数据如何或是否被传输或使用的完整细节,”克劳斯写道。
风险
Klause 表示,当用户在使用 TikTok 等 iOS 应用程序时打开链接并查看该应用程序内呈现的网页,而不是使用 Safari 或 Chrome 等第三方浏览器打开链接时,就会出现风险。
Klause 在 2018 年的一篇文章中指出,一些 JavaScript 代码允许应用程序了解用户访问链接网站的时间、他们打开了哪些链接、他们点击了什么、位置数据(如果启用),甚至在浏览时记录用户或“解析他们的脸”博客文章。
他说,这种情况“未经用户同意,也未经网站提供商同意”。
例如,为方便起见,在 iPhone 上使用 Safari 应用程序的人可能会保存其登录信息或信用卡信息。 但如果他们使用 TikTok 的应用内浏览器访问页面,则需要重新输入任何登录或支付信息。 报告称,这些击键正在被监控。
“这给用户带来了各种风险,主机应用程序能够跟踪与外部网站的每一次交互,从密码和地址等所有表单输入到每一次点击,”克劳斯写道。
长期以来,专家们一直警告称,由于该公司与中国共产党 (CCP) 的关系,TikTok 不能被信任。 这使该公司受到审查。
当被问及情报机构时,中国的安全法迫使公司与情报机构合作。 TikTok表示,它不会遵守中共对用户数据的任何要求。
情报和安全战略公司 BlackOps Partners 的首席执行官凯西·弗莱明 (Casey Fleming) 曾表示,中共正在从事“超限战”,因为它试图取代美国成为世界上唯一的超级大国。
“所有来自中国的技术——无论是在中国制造,还是在中国创造——都受中共控制,”他说。
另一位专家表示,TikTok 收集的有关其用户(主要是年轻的美国人)的大量数据使该应用程序成为一种风险,他说该应用程序可用于监视美国人。
“如果你想监视一个国家,为什么要以老式的方式派出间谍? 为什么不直接发送一个很棒的应用程序并让它传播开来呢?” 网络安全专家和《网络防御》杂志的出版商 Gary Miliefsky 在之前获得的一份声明中说。
