Se dice que el navegador en la aplicación dedicado de TikTok en iOS inyecta código JavaScript en sitios web externos que le permite a TikTok monitorear «todas las entradas y toques del teclado» mientras un usuario interactúa con un sitio web en particular, según Investigador de seguridad Felix KrauseSin embargo, TikTok negó haber usado el código por motivos maliciosos.
Krause dijo que el navegador TikTok integrado en la aplicación «se involucra» en todas las entradas del teclado cuando el usuario interactúa con un sitio web externo, incluidos los detalles confidenciales como contraseñas e información de la tarjeta de crédito, junto con cada toque de pantalla.
“Desde una perspectiva técnica, esto es equivalente a instalar un registrador de teclas en sitios de terceros”, escribió Krause, con respecto al código JavaScript que inyecta TikTok. Sin embargo, el investigador agregó que «el hecho de que una aplicación inyecte JavaScript en sitios web externos no significa que la aplicación esté haciendo algo malicioso».
en la situación actual compartido con ForbesUn portavoz de TikTok reconoció el código JavaScript en cuestión, pero dijo que solo se usa para depurar, solucionar problemas y monitorear el rendimiento para garantizar una «experiencia de usuario óptima».
“Al igual que otras plataformas, usamos un navegador en la aplicación para brindar una experiencia de usuario óptima, pero el código Javascript en cuestión solo se usa para depurar, solucionar problemas y monitorear el rendimiento de esa experiencia, como verificar la velocidad de carga de la página o si falla. ”, decía el comunicado. Forbes.
Krause dijo que los usuarios que quieran protegerse de cualquier uso potencialmente malicioso del código JavaScript en los navegadores de la aplicación deben cambiar a ver un enlace específico en el navegador predeterminado de la plataforma si es posible, como Safari en iPhone y iPad.
“Cuando abre un enlace desde cualquier aplicación, verifique si la aplicación proporciona una forma de abrir el sitio web que se muestra actualmente en su navegador predeterminado”, escribió Krause. «Durante este análisis, todas las aplicaciones, además de TikTok, proporcionaron una forma de hacer esto».
Facebook e Instagram Otras dos aplicaciones insertan código JavaScript en sitios web externos que se cargan en los navegadores de la aplicación, lo que les da a las aplicaciones la capacidad de rastrear la actividad del usuario, según Krause. en PíoUn portavoz de Meta, la empresa matriz de Facebook e Instagram, dijo que la compañía «desarrolló intencionalmente este código para honrar las opciones de Transparencia de seguimiento de aplicaciones (ATT) para las personas en nuestra plataforma».
Krause dijo que creó una herramienta simple que le permite a cualquier persona verificar si un navegador en la aplicación está inyectando código JavaScript al ver un sitio web. El investigador dijo que los usuarios simplemente necesitan abrir una aplicación que quieran analizar, compartir la dirección InAppBrowser.com en algún lugar dentro de la aplicación (por ejemplo, en un mensaje directo a otra persona), hacer clic en el enlace de la aplicación para abrirlo en el navegador de la aplicación. , y lea los detalles del informe descrito.
Apple no respondió de inmediato a una solicitud de comentarios.
«Defensor de la Web. Geek de la comida galardonado. Incapaz de escribir con guantes de boxeo puestos. Apasionado jugador».
More Stories
Steam cierra la laguna jurídica en la política de reembolso y presenta un término oficial para algo en lo que puedes jugar un juego antes si realizas un pedido por adelantado
Fugas del Samsung Galaxy Ring: el dispositivo portátil probablemente ofrecerá ocho versiones y hasta nueve días de duración de la batería
Bang & Olufsen revive un clásico del audio icónico con el nuevo Beosystem 9000c