Felix Krause, badacz oprogramowania i założyciel firmy Fastlane, przedstawił swoje ostatnie odkrycie na temat bezpieczeństwa popularnej aplikacji społecznościowej TikTok.
W skrócie: Felix Krause twierdzi, że kod JavaScript osadzony w przeglądarce używanej wewnątrz aplikacji TikToka jest wykorzystywany do śledzenia uderzeń w klawisze, stuknięć w ekran, skopiowanego tekstu, itp. W swoim raporcie Krause podkreśla, że jest to poważne zagrożenie bezpieczeństwa danych użytkownika. Z kolei TikTok twierdzi, że kod ten służy wyłącznie do celów debugowania i nie jest w żaden sposób wykorzystywany do śledzenia lub rejestrowania informacji o użytkowniku korzystającym z aplikacji. Jako pierwszy o problemie napisał Forbes.
TikTok jest powszechnie uważany za jedną z najpopularniejszych obecnie aplikacji mobilnych, zwłaszcza wśród młodych ludzi. Z 2,6 miliardami pobrań od momentu uruchomienia w 2016 roku i twierdzeniami TikToka o nawet miliardzie aktywnych globalnych użytkowników, to stwierdzenie z pewnością ma swoją wagę.
TikTok ma już na koncie udział w sprawach związanych z bezpieczeństwem danych. Komisarz w amerykańskiej Federalnej Komisji Łączności (FCC – Federal Communications Commission) Brendan Carr wzywał nawet w 2022 roku Apple i Google do usunięcia TikToka ze sklepów z aplikacjami.
Krause twierdzi, że TikTok ma kod JavaScript osadzony w przeglądarce w aplikacji, używany, gdy użytkownicy dotykają linków podczas przewijania aplikacji. Zauważa, że kod osadzony w przeglądarce nie jest problemem, ponieważ prawie wszystkie aplikacje ze zintegrowanymi przeglądarkami mają taką formę kodu, w tym Facebook, Instagram i Snapchat. Niepokój budzi to, co kod JavaScript zamierza zrobić podczas interakcji użytkownika z przeglądarką.
fot. pixabay.com
Krause ujawnia, że kod śledzi położenie stuknięć w ekran, jaki tekst użytkownik kopiuje będąc w przeglądarce. Ale co najważniejsze, kod śledzi każde pojedyncze naciśnięcie klawisza, które ktoś wykonuje w czasie przebywania w przeglądarce. Pierwsze dwa punkty nie są aż tak niepokojące, zauważa Krause. Wiele aplikacji również śledzi stuknięcia w ekran i skopiowany tekst. Jednak TikTok był jedyną aplikacją podczas jego testów, która w jakikolwiek sposób rejestrowała naciśnięcia klawiszy. Jest to niewątpliwie duży problem bezpieczeństwa dla użytkowników, podkreśla Krause.
TikTok szybko próbował obalić raport Krause’a, upierając się, że kod JavaScript zawierający keylogging, dane z ekranu i logowanie skopiowanych linków od użytkowników jest używany wyłącznie do debugowania. Firma dalej wskazuje, że kod został zawarty w „zestawie programistycznym strony trzeciej”, znanym również jako SDK, i że problemy bezpieczeństwa kodu nie są monitorowane przez TikToka. Jednak, gdy zapytano o szczegóły, TikTok nie odpowiedział na pytania dotyczące SDK lub kto konkretnie kod stworzył.
fot. pixabay.com
Wzrost popularności TikToka przyniósł ze sobą poważne kontrowersje. Od samego początku istniały obawy, że firma macierzysta TikTok jest ściśle powiązana z chińskim rządem. List od komisarza amerykańskiej Federalnej, w którym twierdził, że aplikacja jest używana do inwigilacji i wyciągnięcia danych od użytkownika, był tylko ostatnim z wielu wezwań do zaprzestania korzystania z aplikacji.
Ustalenia Krause’a dodają po prostu kolejny powód, by przestać korzystać z TikToka. Ale czy użytkownicy i twórcy treści będą się tym przejmować? Obawy dotyczące bezpieczeństwa mogą przegrać z rozrywką, którą TikTok zapewnia swym użytkownikom. Z kolei dla twórców liczą się pieniądze, a tych na TikToku nie brakuje – tegoroczne przychody z reklam zostały przewidziane na 11 miliardów dolarów, więcej niż u Twittera i Snapchata razem wziętych.