Prema istraživaču sajber bezbednosti Feliksu Krausu, pregledač u aplikaciji TikTok navodno ubrizgava JavaScript kod u eksterne veb stranice i nadgleda “sva dodirivanja i sve unose sa tastature” korisnika. TikTok demantuje da koristi kod u zlonamerne svrhe.
“Iz tehničke perspektive, ovo je ekvivalent instaliranju keylogger softvera na sajtove trećih strana”, kaže Kraus. “Ovo je bio aktivan izbor kompanije, nije bio trivijalan inženjerski zadatak i nije mogao da se desi slučajno”.
Portparolka TikTok platforme Morin Šanahen je potvrdila postojanje ovog koda, ali kaže da se koristi za otklanjanje grešaka, rešavanje problema i praćenje performansi kako bi se obezbedilo “optimalno korisničko iskustvo”.
“Kao i druge platforme, mi koristimo pregledač u aplikaciji da bismo obezbedili optimalno korisničko iskustvo, ali JavaScript kod u pitanje se koristi samo za otklanjanje grešaka, rešavanje problema i praćenje performansi tog iskustva – kao što je provera koliko brzo se stranica učitava ili da li se ruši”, kaže Šanahen.
Kraus savetuje da bi korisnici koji žele da se zaštite od bilo kakvog potencijalnog zlonamernog korišćenja koda u predgledaču, trebalo da otvaraju linkove u podrazumevanom pregledaču svog telefona, ako je to moguće.
“Kad god otvorite link iz bilo koje aplikacije, pogledajte da li aplikacija nudi način da otvorite trenutno prikazanu veb lokaciju u vašem podrazumevanom pretraživaču”, kaže Kraus. “Tokom ove analize, samo TikTok aplikacija nije nudila način da se to uradi”.
Kraus je rekao da je napravio jednostavnu alatku koja omogućava svakome da proveri da li pregledač u samoj aplikaciji ubrizgava JavaScript kod kada renderuje sajt. Istraživač je rekao da korisnici jednostavno mogu da otvore aplikaciju koju žele da analiziraju, da podele adresu InAppBrowser.com negde unutar aplikacije (kao što je direktna poruka drugoj osobi), otvore link unutar aplikacije i pročitaju detalje dobijenog izveštaja.