Secondo il ricercatore di sicurezza Felix Krause, il browser in-app personalizzato di TikTok su iOS inietta il codice JavaScript in siti Web esterni, consentendo a TikTok di monitorare ‘tutti gli input e i tocchi della tastiera’ mentre un utente interagisce con un determinato sito Web, ma TikTok avrebbe negato che il il codice venisse utilizzato per scopi dannosi.
Il browser in-app di TikTok si ‘iscrive’ a tutti gli input della tastiera mentre un utente interagisce con un sito Web esterno, comprese eventuali credenziali sensibili come password e informazioni sulla carta di credito, nonché ogni tocco sullo schermo, secondo Krause.
TikTok, gli utenti non devono preoccuparsi
‘Da un punto di vista tecnico, questo equivale all’installazione di un keylogger su siti Web di terze parti’, ha detto Krause del codice JavaScript di TikTok. Il ricercatore, tuttavia, ha avvertito che ‘semplicemente perché un’app inietta JavaScript in siti Web esterni non garantisce che l’app stia facendo qualcosa di pericoloso’.
Una portavoce di TikTok ha riconosciuto il codice JavaScript in questione in una dichiarazione rilasciata a Forbes, ma ha affermato che viene utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni per mantenere un”esperienza utente ottimale’.
Gli utenti che desiderano proteggersi dall’uso potenzialmente dannoso del codice JavaScript nei browser in-app, secondo Krause, dovrebbero visualizzare un determinato collegamento tramite il browser predefinito della piattaforma, come Safari su iPhone e iPad. Secondo Krause, Facebook e Instagram sono altre due app che incorporano il codice JavaScript in altre pagine Web caricate nei loro browser in-app, consentendo alle app di tracciare l’attività dell’utente. Un rappresentante di Meta, la società madre di Facebook e Instagram, ha dichiarato in un tweet che l’azienda ‘ha creato specificamente questo codice per onorare le preferenze di Trasparenza del tracciamento delle app (ATT) delle persone sulle nostre piattaforme’.