关注我们的 WhatsApp 频道, TikTok 与 Instagram 以观看最新的短视频 - 开箱,测评与第一手新闻资讯。
据安全研究员 Felix Krause 称,TikTok 在 iOS 上的自定义 App 内浏览器将 JavaScript 代码注入外部网站,允许 TikTok 在用户与给定网站交互时监控“所有键盘输入和点击”,但TikTok 否认了该代码被用于恶意行为。
Felix Krause表示,当用户与外部网站交互时,TikTok App 内浏览器会“订阅”所有键盘输入,包括密码和信用卡信息等任何敏感细节,以及屏幕上的每次点击。而从技术角度来看,这相当于在第三方网站上安装键盘记录器。
TikTok方面在一份声明中承认了有问题的 JavaScript 代码,但表示它仅用于调试、故障排除和性能监控,以确保“最佳用户体验”。
Felix Krause说道,希望保护自己免受 App 内浏览器 JavaScript 代码的任何潜在恶意使用的用户应尽可能切换使用平台默认浏览器访问查看给定链接,例如 iPhone 和 iPad 上的 Safari 浏览器。
根据此前Felix Krause的揭露,Facebook 和 Instagram 是另外存在问题的两个应用程序,它们将 JavaScript 代码插入到加载在 App 内浏览器中的外部网站中,从而使应用程序能够跟踪用户活动。
对此,Facebook 和 Instagram 母公司 Meta 发言人在Twitter中表示,该公司“有意开发此代码是为了尊重人们在我们平台上的应用跟踪透明度 (ATT) 选择”。
另外,Felix Krause也表示,他制作了网站 InAppBrowser.com 作为分析内置浏览器的工具,网站会制作报告去解释浏览器执行了哪些 JavaScript 指令。
Felix Krause指出,在他分析过的众多程式中,就只有 TikTok 一款并没有给予用户利用程式开启外部连结的选项,不过他承认程式在外部连结注入 JavaScript,并不代表程式就是存在恶意行为。换言之,只有 TikTok 知道他们收集、转移和利用了用户的什么资料。
据 TikTok 发言人称,JavaScript 代码是 TikTok 正在利用的软件开发工具包 (SDK) 的一部分,而 Felix Krause提到的“keypress”和“keydown”功能是 TikTok 不用于按键记录的常见输入。
更多科技资讯,请继续守住TechNave中文版!
【资料来源】
