ظاهراً مرورگر درون‌برنامه‌ای TikTok می‌تواند هر چیزی را که تایپ می‌کنید نظارت کند

iCpple آگوست 19, 2022

0 54 زمان تقریبی مطالعه 2 دقیقه

به گفته محقق امنیتی فلیکس کراوس، مرورگر درون برنامه ای سفارشی TikTok در iOS گزارش شده است که کد جاوا اسکریپت را به وب سایت های خارجی تزریق می کند که به TikTok اجازه می دهد “همه ورودی ها و ضربه های صفحه کلید” را در زمانی که کاربر در حال تعامل با یک وب سایت خاص است نظارت کند، اما TikTok گزارش شده که این موضوع را رد کرده است. کد به دلایل مخرب استفاده می شود.

کراوس گفت که مرورگر درون‌برنامه TikTok در تمام ورودی‌های صفحه کلید مشترک می‌شود در حالی که کاربر با یک وب‌سایت خارجی تعامل دارد، از جمله هرگونه جزئیات حساس مانند رمز عبور و اطلاعات کارت اعتباری، همراه با هر ضربه روی صفحه.

کراوس در رابطه با کد جاوا اسکریپتی که TikTok تزریق می کند، نوشت: از دیدگاه فنی، این معادل نصب کی لاگر در وب سایت های شخص ثالث است. با این حال، محقق اضافه کرد که “فقط به این دلیل که یک برنامه جاوا اسکریپت را به وب سایت های خارجی تزریق می کند، به این معنی نیست که برنامه کار مخربی انجام می دهد.”

در بیانیه ای که با فوربسسخنگوی TikTok کد جاوا اسکریپت مورد بحث را تایید کرد، اما گفت که فقط برای اشکال زدایی، عیب یابی و نظارت بر عملکرد استفاده می شود تا از “تجربه کاربر بهینه” اطمینان حاصل شود.

مانند سایر پلتفرم‌ها، ما از یک مرورگر درون برنامه‌ای برای ارائه یک تجربه کاربری بهینه استفاده می‌کنیم، اما کد جاوا اسکریپت مورد بحث فقط برای اشکال‌زدایی، عیب‌یابی و نظارت بر عملکرد آن تجربه استفاده می‌شود – مانند بررسی سرعت بارگیری صفحه یا خرابی آن. بر اساس این بیانیه آمده است فوربس.

Krause گفت کاربرانی که می خواهند از خود در برابر هرگونه استفاده مخرب احتمالی کد جاوا اسکریپت در مرورگرهای درون برنامه ای محافظت کنند، باید در صورت امکان به مشاهده پیوند داده شده در مرورگر پیش فرض پلتفرم، مانند سافاری در آیفون و آیپد، روی آورند.

کراوس نوشت: «هرگاه پیوندی را از هر برنامه ای باز می کنید، ببینید آیا برنامه راهی برای باز کردن وب سایت نشان داده شده در حال حاضر در مرورگر پیش فرض شما ارائه می دهد یا خیر. در طول این تجزیه و تحلیل، هر اپلیکیشنی غیر از TikTok راهی برای انجام این کار ارائه کرده است.

به گفته Krause، فیس‌بوک و اینستاگرام دو برنامه دیگر هستند که کد جاوا اسکریپت را در وب‌سایت‌های خارجی بارگذاری شده در مرورگرهای درون برنامه‌شان وارد می‌کنند و به برنامه‌ها توانایی ردیابی فعالیت کاربر را می‌دهند. در یک توییتسخنگوی شرکت مادر فیسبوک و اینستاگرام متا گفت که این شرکت “عمداً این کد را برای احترام به انتخاب‌های شفافیت ردیابی اپلیکیشن (ATT) مردم در پلتفرم‌های ما ایجاد کرده است.

کراوس گفت که او ابزار ساده ای ایجاد کرده است که به هر کسی اجازه می دهد بررسی کند که آیا یک مرورگر درون برنامه ای کد جاوا اسکریپت را هنگام ارائه یک وب سایت تزریق می کند یا خیر. این محقق گفت که کاربران به سادگی باید برنامه ای را که می خواهند آنالیز کنند باز کنند، آدرس InAppBrowser.com را در جایی در داخل برنامه به اشتراک بگذارند (مثلاً در یک پیام مستقیم به شخص دیگری)، روی پیوند داخل برنامه ضربه بزنید تا آن را در داخل برنامه باز کنید. مرورگر برنامه، و جزئیات گزارش نشان داده شده را بخوانید.

اپل بلافاصله به درخواست برای اظهار نظر پاسخ نداد.