Браузер всередині додатка TikTok на iOS вставляє код JavaScript на зовнішні веб-сайти, що дозволяє TikTok відстежувати всі введення та натискання з клавіатури, коли користувач взаємодіє з певним веб-сайтом. У TikTok кажуть, що код не використовується зі зловмисною метою.
Дослідник безпеки Фелікс Крауз сказав, що вбудований браузер TikTok може отримувати будь-які конфіденційні дані, як-от паролі та дані кредитної картки, разом із кожним натисканням на екран.
У заяві, надісланій Forbes, представник TikTok визнав наявність коду JavaScript, про який йдеться. Але сказав, що він використовується лише для налагодження, усунення несправностей і моніторингу продуктивності, щоб забезпечити «оптимальний досвід користувача».
Краузе сказав, що користувачі, які бажають захистити себе від потенційного зловмисного використання коду JavaScript у вбудованому браузері, повинні переключитися на перегляд посилань у браузері за замовчуванням, наприклад Safari на iPhone та iPad.
За словами Краузе, Facebook і Instagram — це дві інші програми, які вставляють код JavaScript у зовнішні веб-сайти, завантажені у вбудованих браузерах їхніх додатків.
У своєму твіттері речник материнської компанії Facebook і Instagram Meta сказав, що компанія навмисно розробила цей код, щоб врахувати вибір людей щодо прозорості відстеження додатків на наших платформах.
Краузе сказав, що він створив простий інструмент, який дозволяє будь-кому перевірити, чи вбудований браузер додатка вставляє код JavaScript на відвідані веб-сайти. Дослідник сказав, що користувачам потрібно просто відкрити програму, яку вони хочуть проаналізувати, зайти у ній на сайт InAppBrowser.com і прочитати деталі показаного звіту.
