A TikTok saját, alkalmazáson belüli böngészője iOS-en állítólag JavaScript kódot injektál külső webhelyekre, amely lehetővé teszi az alkalmazás számára, hogy figyelemmel kísérje az összes billentyűbevitelt és koppintást, miközben a felhasználó interakcióba lép egy adott webhelyen. Azonban a TikTok állítólag tagadta, hogy a kódot rosszindulatú okokból használják.
Felix Krause, biztonsági kutató szerint a TikTok alkalmazáson belüli böngészője nyomon követ minden billentyűzetbevitelt, miközben a felhasználó interakcióba lép egy külső weboldallal, beleértve minden érzékeny adatot, például jelszavakat és hitelkártyaadatokat, valamint a képernyő minden koppintását.
Technikai szempontból ez egyenértékű azzal, mintha egy keyloggert telepítenénk harmadik fél weboldalaira. De csak azért, mert egy alkalmazás JavaScriptet injektál külső webhelyekre, még nem jelenti azt, hogy az alkalmazás bármi rosszindulatú dolgot csinál.
A Forbes-szal megosztott nyilatkozatában a TikTok szóvivője elismerte a szóban forgó JavaScript-kód létezését, de azt mondta, hogy azt csak hibakeresésre, hibaelhárításra és teljesítményfigyelésre használják az optimális felhasználói élmény biztosítása érdekében.
Más platformokhoz hasonlóan mi is használunk alkalmazáson belüli böngészőt az optimális felhasználói élmény biztosítása érdekében, de a szóban forgó Javascript-kódot csak hibakeresésre, hibaelhárításra és ennek az élménynek a teljesítményfigyelésére használjuk, például annak ellenőrzésére, hogy milyen gyorsan töltődik be egy oldal, vagy hogy összeomlik-e.
Krause szerint azoknak a felhasználóknak, akik meg akarják védeni magukat az alkalmazáson belüli böngészőkben található JavaScript-kód esetleges rosszindulatú felhasználásától, lehetőség szerint át kell váltaniuk arra, hogy az adott linket a platform alapértelmezett böngészőjében, például az iPhone és iPad készülékeken a Safariban nézzék meg.
Amikor bármilyen alkalmazásból megnyitsz egy linket, nézd meg, hogy az alkalmazás kínál-e lehetőséget arra, hogy az éppen megjelenített weboldalt az alapértelmezett böngészőben nyisd meg. Az elemzés során a TikTok-on kívül minden alkalmazás kínált erre módot.
A Facebook és az Instagram két másik olyan alkalmazás, amely JavaScript-kódot illeszt be az alkalmazáson belüli böngészőjükbe betöltött külső weboldalakba, így az alkalmazások Krause szerint képesek nyomon követni a felhasználók tevékenységét. A Facebook és az Instagram anyavállalata, a Meta szóvivője egy tweetben azt mondta, hogy a vállalat szándékosan fejlesztette ki ezt a kódot, hogy tiszteletben tarthassa az emberek App Tracking Transparency (ATT) választásait a platformjainkon.
Krause elmondta, hogy létrehozott egy egyszerű eszközt, amellyel bárki ellenőrizheti, hogy egy alkalmazáson belüli böngésző injektál-e JavaScript kódot a weboldal megjelenítésekor. A kutató szerint a felhasználóknak egyszerűen meg kell nyitniuk egy olyan alkalmazást, amelyet elemezni szeretnének, meg kell osztaniuk az InAppBrowser.com címet valahol az alkalmazáson belül (például egy másik személynek küldött közvetlen üzenetben), rá kell koppintaniuk az alkalmazáson belüli linkre, hogy megnyissa azt az alkalmazáson belüli böngészőben, és el kell olvasniuk a megjelenített jelentés részleteit.