Исследователь говорит, что приложение для социальных сетей может собирать информацию о нажатиях клавиш, но «мы не можем узнать», используются ли данные и как они используются
Мониторинг нажатий клавиш дает приложению возможность собирать конфиденциальные личные данные, такие как информация о кредитной карте и пароли. Фотография: Дадо Рувич/Reuters
Согласно новому исследованию, проведенному инженером-программистом Феликсом Краузе, TikTok может отслеживать каждое касание вашего экрана во время просмотра в приложении для iOS, включая введенные пароли и переходы по ссылкам.
Под просмотром в приложении понимается любая активность на сторонних сайтах, которая открывается в приложении, а не во внешнем окне.
В четверг Краузе опубликовал отчет, в котором исследуется JavaScript. код социальных сетей внедряется на сторонние сайты, что позволяет ему отслеживать активность пользователей.
Инструмент безопасности Краузе, InAppBrowser.com, показал, что приложение TikTok для iOS может отслеживать все нажатия клавиш, ввод текста и касания экрана, которые могут включать конфиденциальные личные данные, такие как информация о кредитной карте и пароли.
Краузе отметил, однако, что «то, что приложение внедряет JavaScript на внешние веб-сайты, не означает, что приложение делает что-то злонамеренное».
«У нас нет возможности узнать все подробности о том, какие данные собирает каждый встроенный в приложение браузер, а также о том, как эти данные передаются или используются», — сказал он.
При открытии веб-сайта из приложения TikTok для iOS они вводят код, который может отслеживать каждый ввод с клавиатуры (который может включать данные кредитной карты, пароли или другую конфиденциальную информацию)
TikTok также имеет код для наблюдения за всеми нажатиями, такими как нажатия на любые кнопки или ссылки. pic.twitter.com/Dcv0N4ccKD
— Феликс Краузе (@KrauseFx) 18 августа 2022 г.
Приядарси Нанда из Школы электротехники и обработки данных Сиднейского технологического университета сказал, что сбор информации о нажатиях клавиш очень похож на поведение клавиатурных шпионов, типа вредоносного ПО.
«На какой бы сайт вы ни зашли к, он принимает ваши данные», — сказал он. «Это определенно касается любого приложения, которому вы не доверяете».
Представитель TikTok сообщил Guardian Australia, что «выводы отчета о TikTok неверны и вводят в заблуждение».
p>
«Исследователь, в частности, говорит, что код JavaScript не означает, что наше приложение делает что-то злонамеренное, и признает, что у них нет возможности узнать, какие данные собирает наш встроенный в приложение браузер», — сказал представитель.
«Вопреки заявлениям в отчете, мы не собираем информацию о нажатиях клавиш или текстовом вводе с помощью этого кода, который используется исключительно для отладки, устранения неполадок и мониторинга производительности».
Помимо TikTok, Краузе оценил iOS-приложения Instagram, Facebook, Facebook Messenger, Amazon, Snapchat и Robinhood. TikTok был единственным обнаруженным приложением, которое не предлагало пользователям возможность переключения с просмотра внутри приложения на внешний браузер при доступе к сторонним сайтам.
https://t.co/KwZ3dtKyQf — новый инструмент, который я использовал для исследования встроенных браузеров приложений (которые их используют) для поиска любого внедряемого внешнего кода JavaScript. pic.twitter.com/XSdXOpXYlq
— Феликс Краузе (@KrauseFx) 18 августа 2022 г.
«У TikTok были самые широкие возможности наблюдения, — сказал Ури Гал, профессор систем бизнес-информации Сиднейского университета.
«Многие люди, использующие приложение, не знают о слежка, ведущаяся за ними внутри [нем]. Пользовательская база TikTok намного моложе, чем у Facebook и Instagram… что делает их гораздо более уязвимыми».
Гэл сказала, что TikTok «представляет другой вид риска» из-за родительской компания ByteDance подозревается в связях с Коммунистической партией Китая.
-
Подпишитесь, чтобы каждое утро получать электронное письмо с главными новостями от Guardian Australia
Функция наблюдения может быть использована для «сбора как можно большего количества информации в целях промышленного шпионажа и формирования общественного мнения, которое больше соответствует их интересам», — сказал он.
В отчете, опубликованном австралийско-американской фирмой по кибербезопасности Internet 2.0 в июле, содержится предупреждение о том, что китайское правительство может использовать приложение для сбора личной информации, от сообщений в приложении до местоположения устройства.
Подписать до Утренней почты Guardian Australia
Бесплатный ежедневный информационный бюллетень
В нашем утреннем электронном письме с брифингами в Австралии рассказывается о ключевых национальных и международных событиях дня и о том, почему они важны
Примечание о конфиденциальности: Информационные бюллетени могут содержать информацию о благотворительных организациях, интернет-рекламе и контенте, финансируемом сторонними организациями. Для получения дополнительной информации см. нашу Политику конфиденциальности. Мы используем Google reCaptcha для защиты нашего веб-сайта, а также применяются Политика конфиденциальности и Условия обслуживания Google.ByteDance в прошлом отрицала связь с правительством Китая и назвала заявление «дезинформацией» после различных утечки предполагают, что он подвергает цензуре материалы, которые не соответствуют целям внешней политики Китая или упоминают ситуацию с правами человека в стране.
Исследование Краузе показало, что в Instagram также есть возможность отслеживать нажатия на экран, например, когда пользователи нажимают на изображение.
«При использовании в приложении возникают проблемы с конфиденциальностью и целостностью данных. браузеры… например, как Instagram и TikTok показывают все внешние веб-сайты внутри своего приложения», — написал Краузе в отчете.
Мета-внедрение кода на веб-сайты для отслеживания его пользователей, говорится в исследовании.Подробнее
Галь сказал, что практика Instagram и Facebook почти такая же обширная, как у TikTok.
«Их основная мотивация почти чисто коммерческая и финансовая, тогда как в TikTok есть элемент национальной безопасности, который, я не думаю, напрямую присутствует в других».
A представитель материнской компании Instagram, Meta, сказал, что «веб-браузеры в приложениях широко распространены в отрасли».
«В Meta мы используем браузеры в приложениях, чтобы обеспечить безопасный, удобный и надежный опыт, например, обеспечить правильное заполнение автозаполнения или предотвратить перенаправление людей на вредоносные сайты», — сказал представитель.
«Для добавления любого из этих видов функций требуется дополнительный код. Мы тщательно разработали эти возможности, чтобы уважать выбор конфиденциальности пользователей, в том числе то, как данные могут использоваться для рекламы».
В заявлении TikTok, включенном в отчет Краузе, пресс-секретарь Морин Шанахан сказал: «Как и на других платформах, мы используем браузер в приложении, чтобы обеспечить оптимальное взаимодействие с пользователем … например, проверить, насколько быстро загружается страница или нет ли сбоя».
Нанда сказал, что платформы социальных сетей не раскрывают, сколько личных данных остается у компании и передаются ли они третьим лицам.
«Они могут передавать эту информацию сторонним поставщикам услуг, что играет важную роль в запуске изощренных атак любого характера», — сказал Нанда, указывая на взломы, которые крадут данные, такие как информация о кредитных картах, и атаки вредоносных программ, которые замораживают компьютеры или блокируют файлы. «Это реальный риск».
Свежие комментарии