Secondo gli ultimi studi di Felix Krause, ricercatore di sicurezza, creatore di siti come iOS-factor.com ed ex dipendente di Google e Twitter, TikTok registra qualsiasi cosa si scrive sul proprio browser interno. Sembrerebbe infatti che, la famosa app cinese, spii i propri utenti tramite la registrazione di ogni singolo input della tastiera.
In pratica, TikTok, per ora solo su dispositivi iOS, inietta un codice JavaScript nei siti web esterni che consente all’app di registrare qualsiasi input e tocco della tastiera. Tutti gli utenti così possono essere tranquillamente monitorati in tutte le ricerche, magari anche per quanto riguarda login nei vari siti.
Il browser in-app di TikTok “monitora” davvero gli utenti?
A quanto pare sì ed esiste anche la conferma di TikTok stessa. Il browser in-app registra veramente tutto quello che gli utenti scrivono sui siti web esterni, anche informazioni potenzialmente sensibili come password, e-mail e informazioni sulla carta di credito. Qualsiasi tocco fatto sulla tastiera.
“Come altre piattaforme, utilizziamo un browser in-app per fornire un’esperienza utente ottimale, ma il codice Javascript in questione viene utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni di tale esperienza, come controllare la velocità di caricamento di una pagina o se si arresta in modo anomalo.”
Come detto prima, infatti, la conferma avviene proprio da un portavoce di TikTok tramite una dichiarazione fatta a Forbes e che sostiene di conoscere il codice JavaScript in questione. Il dipendente ha affermato, però, che il codice viene usato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni per garantire una migliore user experience.
? New Post: Announcing InAppBrowser – see what JavaScript commands get injected through an in-app browser
— Felix Krause (@KrauseFx) August 18, 2022
? TikTok, when opening any website in their app, injects tracking code that can monitor all keystrokes, including passwords, and all taps.https://t.co/TxN1ezZX71 pic.twitter.com/pQcX5vrEXc
Krause ha affermato comunque che gli utenti possono proteggersi da questo “controllo” semplicemente non usando il browser in-app ma leggendo ogni link su Safari. Il ricercatore ha anche creato uno strumento che consente agli utenti di qualsiasi app di controllare se i browser in-app usano dei codici JavaScript esterni. Per utilizzarlo basta andare su InAppBrowser.com facendosi mandare il link da un’altra persona all’interno del social e vedere il risultato.
LEGGI ANCHE: Secondo un rumor, Amazon sta per implementare dei feed ispirati a TikTok
Per precisare, anche altri social come Facebook e Instagram, sfruttano codici JavaScript all’interno del browser in-app come quello di TikTok ma non “registrano” tutti i tocchi della tastiera ma tracciano le attività degli utenti per poter poi migliorare le pubblicità e i post sponsorizzati. Per ora, Apple non ha commentato nulla a riguardo.