Noticias

El navegador en la aplicación de TikTok puede rastrear las claves de los usuarios: investigación

Un investigador independiente de seguridad cibernética advirtió que la aplicación china de video de formato corto TikTok inyecta código JavaScript en todos y cada uno de los enlaces abiertos a través de su navegador personalizado en la aplicación en iOS, que puede rastrear cada pulsación de tecla en una página web.

El investigador, Felix Krause, fundador de la empresa de prueba de aplicaciones Fastlane, que fue adquirida por Google hace cinco años, dijo que los resultados encontraron que cuando el usuario abre cualquier enlace en la aplicación TikTok iOS, se abre dentro de su navegador en la aplicación. .

«Mientras interactúa con el sitio web, TikTok acepta todas las entradas del teclado (incluidas las contraseñas, la información de la tarjeta de crédito, etc.) y todos los toques en la pantalla, como hacer clic en botones y enlaces», dice Krause en un entrada en el blog especificando los resultados.

TikTok iOS firma todas las pulsaciones de teclas (entrada de texto) que se producen en sitios web de terceros, que se proporcionan dentro de la aplicación de redes sociales, dijo. Esto puede incluir contraseñas, información de tarjetas de crédito y otros datos confidenciales (pulsación de tecla y pulsación de tecla).

Desde un punto de vista técnico, esto es el equivalente a instalar un keylogger en sitios web de terceros, dijo Krause.

“Esta fue una elección activa hecha por la empresa. Esta es una tarea de ingeniería no trivial. Esto no sucede por error o al azar”, dijo.

TikTok iOS firma cada toque en cualquier botón, enlace, imagen u otro componente del sitio web proporcionado dentro de la aplicación TikTok. Utiliza una función de JavaScript para obtener datos sobre el elemento en el que el usuario hizo clic, como una imagen (document.elementFromPoint).

Krause advierte, sin embargo, que solo porque descubrió que TikTok está registrando cada pulsación de tecla que un usuario hace en sitios de terceros vistos dentro de su navegador en la aplicación no significa necesariamente que esté haciendo «algo malicioso» en el acceso. – porque no pudo determinar si TikTok estaba o no rastreando activamente las pulsaciones de teclas y si los datos se estaban enviando o no a TikTok.

Para evitar un posible seguimiento, el investigador recomienda abrir los enlaces en el navegador predeterminado de la plataforma si es posible, como Safari en iPhone y iPad o Chrome, si está utilizando un dispositivo Android.

«Cuando abre un enlace desde cualquier aplicación, vea si la aplicación ofrece una forma de abrir el sitio web que se muestra actualmente en su navegador predeterminado», escribió Krause. «Durante este análisis, todas las aplicaciones, excepto TikTok, ofrecieron una forma de hacer esto».

Aunque un portavoz de TikTok reconoció el código JavaScript en cuestión, pero negó que la empresa lo esté usando en su navegador integrado en la aplicación iOS.

El portavoz acusó a Krause de hacer declaraciones «falsas y engañosas» sobre la aplicación y dijo que el código JavaScript en cuestión se usa solo para depurar, solucionar problemas y monitorear el rendimiento.

«El investigador afirma específicamente que el código JavaScript no significa que nuestra aplicación esté haciendo algo malicioso, y reconoce que no sabe qué tipo de datos recopila nuestro navegador integrado en la aplicación», dijo el portavoz.

«Al contrario de lo que afirma el informe, no recopilamos las pulsaciones de teclas ni la entrada de texto a través de este código, que se usa solo para depurar, solucionar problemas y monitorear el rendimiento».

La compañía también dijo que el código es parte de un kit de desarrollo de software de terceros, o SDK, utilizado por su aplicación e incluye funciones que no utiliza TikTok.

Además de TikTok, Krause también ha analizado la recopilación de datos del navegador en la aplicación por parte de empresas como Instagram y el propietario de Facebook, Meta. yo PíoUn portavoz de Meta dijo que «la compañía desarrolló intencionalmente este código para respetar las opciones de transparencia de seguimiento de aplicaciones (ATT) de las personas en nuestras plataformas».

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!