首頁(yè)|必讀|視頻|專(zhuān)訪|運(yùn)營(yíng)|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁(yè) >> 應(yīng)用 >> 正文

TikTok被曝App內(nèi)瀏覽器監(jiān)控輸入和點(diǎn)擊的任何內(nèi)容 發(fā)言人否認(rèn)

2022年8月22日 09:30  IT之家  

據(jù)安全研究員 Felix Krause 稱,TikTok 在 iOS 上的自定義 App 內(nèi)瀏覽器將 JavaScript 代碼注入外部網(wǎng)站,允許 TikTok 在用戶與給定網(wǎng)站交互時(shí)監(jiān)控“所有鍵盤(pán)輸入和點(diǎn)擊”,但據(jù)報(bào)道 TikTok 公司否認(rèn)了該代碼被用于惡意行為。

Krause 表示,當(dāng)用戶與外部網(wǎng)站交互時(shí),TikTok App 內(nèi)瀏覽器會(huì)“訂閱”所有鍵盤(pán)輸入,包括密碼和信用卡信息等任何敏感細(xì)節(jié),以及屏幕上的每次點(diǎn)擊。

“從技術(shù)角度來(lái)看,這相當(dāng)于在第三方網(wǎng)站上安裝鍵盤(pán)記錄器,”Krause 在談到 TikTok 注入的 JavaScript 代碼時(shí)寫(xiě)道。然而,研究人員補(bǔ)充說(shuō),“僅僅是應(yīng)用將 JavaScript 注入外部網(wǎng)站,但并不意味著該應(yīng)用正在做任何惡意的事情!

在與福布斯分享的一份聲明中,TikTok 發(fā)言人承認(rèn)了有問(wèn)題的 JavaScript 代碼,但表示它僅用于調(diào)試、故障排除和性能監(jiān)控,以確!白罴延脩趔w驗(yàn)”。

“與其他平臺(tái)一樣,我們使用 App 內(nèi)瀏覽器來(lái)提供最佳用戶體驗(yàn),但所討論的 Javascript 代碼僅用于調(diào)試、故障排除和性能監(jiān)控 —— 例如檢查頁(yè)面加載速度或是否崩潰。”

Krause 表示,希望保護(hù)自己免受 App 內(nèi)瀏覽器 JavaScript 代碼的任何潛在惡意使用的用戶應(yīng)盡可能切換使用平臺(tái)默認(rèn)瀏覽器訪問(wèn)查看給定鏈接,例如 iPhone 和 iPad 上的 Safari 瀏覽器。

據(jù) Krause 稱,F(xiàn)acebook 和 Instagram 是另外存在問(wèn)題的兩個(gè)應(yīng)用程序,它們將 JavaScript 代碼插入到加載在 App 內(nèi)瀏覽器中的外部網(wǎng)站中,從而使應(yīng)用程序能夠跟蹤用戶活動(dòng)。Facebook 和 Instagram 母公司 Meta 發(fā)言人在推文中表示,該公司“有意開(kāi)發(fā)此代碼是為了尊重人們?cè)谖覀兤脚_(tái)上的應(yīng)用跟蹤透明度 (ATT) 選擇”。《Meta Instagram 被曝通過(guò) App 內(nèi)瀏覽器跟蹤用戶網(wǎng)絡(luò)活動(dòng),已違反蘋(píng)果 iOS 隱私政策》

Krause 說(shuō)他創(chuàng)建了簡(jiǎn)單的工具,允許任何人在呈現(xiàn)網(wǎng)站時(shí)檢查 App 內(nèi)瀏覽器是否正在注入 JavaScript 代碼。研究人員表示,用戶只需打開(kāi)他們想要分析的應(yīng)用程序,在應(yīng)用程序內(nèi)的某處分享地址 InAppBrowser.com(例如直接向另一個(gè)人發(fā)送消息),點(diǎn)擊應(yīng)用程序內(nèi)的鏈接即可在-app 瀏覽器,并閱讀顯示的報(bào)告的詳細(xì)信息。

蘋(píng)果沒(méi)有立即回應(yīng)置評(píng)請(qǐng)求。

TikTok發(fā)言人進(jìn)一步聲明表示,

“該報(bào)告關(guān)于 TikTok 的結(jié)論是不正確且具有誤導(dǎo)性的。研究人員明確表示,JavaScript 代碼并不意味著我們的應(yīng)用程序在做任何惡意行為,并承認(rèn)他們無(wú)法知道我們的應(yīng)用程序內(nèi)瀏覽器收集了什么樣的數(shù)據(jù)。我們不會(huì)通過(guò)此代碼收集擊鍵或文本輸入,該代碼僅用于調(diào)試、故障排除和性能監(jiān)控。”

據(jù) TikTok 發(fā)言人稱,JavaScript 代碼是 TikTok 正在利用的軟件開(kāi)發(fā)工具包 (SDK) 的一部分,而 Krause 提到的“keypress”和“keydown”功能是 TikTok 不用于按鍵記錄的常見(jiàn)輸入。

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問(wèn)題,請(qǐng)?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對(duì)此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬?guó)家新劃分了中頻段6G頻譜資源
精彩專(zhuān)題
專(zhuān)題丨“汛”速出動(dòng) 共筑信息保障堤壩
2023MWC上海世界移動(dòng)通信大會(huì)
中國(guó)5G商用四周年
2023年中國(guó)國(guó)際信息通信展覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營(yíng)許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書(shū)面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像