TecTop
Según los informes, el navegador personalizado en la aplicación de TikTok en iOS inyecta código JavaScript en sitios web externos que le permite a TikTok monitorear «todas las entradas y toques del teclado» mientras un usuario interactúa con un sitio web determinado, según investigador de seguridad Felix Krausepero, según los informes, TikTok ha negado que el código se use con fines maliciosos.
Krause dijo que el navegador en la aplicación de TikTok se «suscribe» a todas las entradas del teclado mientras un usuario interactúa con un sitio web externo, incluidos los detalles confidenciales como contraseñas e información de la tarjeta de crédito, junto con cada toque en la pantalla.
«Desde una perspectiva técnica, esto es el equivalente a instalar un registrador de teclas en sitios web de terceros», escribió Krause, con respecto al código JavaScript que inyecta TikTok. Sin embargo, el investigador agregó que «el hecho de que una aplicación inyecte JavaScript en sitios web externos no significa que la aplicación esté haciendo algo malicioso».
En una oracion compartido con Forbesun portavoz de TikTok reconoció el código JavaScript en cuestión, pero dijo que solo se usa para depurar, solucionar problemas y monitorear el rendimiento para garantizar una «experiencia de usuario óptima».
«Al igual que otras plataformas, usamos un navegador en la aplicación para brindar una experiencia de usuario óptima, pero el código Javascript en cuestión se usa solo para depurar, solucionar problemas y monitorear el rendimiento de esa experiencia, como verificar qué tan rápido carga una página o si se bloquea. ”, decía el comunicado, según Forbes.
Krause dijo que los usuarios que deseen protegerse de cualquier posible uso malicioso del código JavaScript en los navegadores de la aplicación deben cambiar para ver un enlace determinado en el navegador predeterminado de la plataforma si es posible, como Safari en el iPhone y el iPad.
«Cada vez que abra un enlace desde cualquier aplicación, vea si la aplicación ofrece una forma de abrir el sitio web que se muestra actualmente en su navegador predeterminado», escribió Krause. «Durante este análisis, todas las aplicaciones además de TikTok ofrecieron una forma de hacer esto».
Facebook e Instagram son otras dos aplicaciones que insertan código JavaScript en sitios web externos cargados en sus navegadores dentro de la aplicación, lo que les da a las aplicaciones la capacidad de rastrear la actividad del usuario, según Krause. en un Píoun portavoz de la empresa matriz de Facebook e Instagram, Meta, dijo que la compañía «desarrolló intencionalmente este código para honrar las opciones de Transparencia de seguimiento de aplicaciones (ATT) de las personas en nuestras plataformas».
Krause dijo que creó una herramienta simple que le permite a cualquier persona verificar si un navegador en la aplicación está inyectando código JavaScript al representar un sitio web. El investigador dijo que los usuarios simplemente necesitan abrir una aplicación que deseen analizar, compartir la dirección InAppBrowser.com en algún lugar dentro de la aplicación (como en un mensaje directo a otra persona), tocar el enlace dentro de la aplicación para abrirlo en el interior. -navegador de aplicaciones, y lea los detalles del informe que se muestra.
Apple no respondió de inmediato a una solicitud de comentarios.
