t’yi işaretleyinock saat gider. Görünüşe göre her gün daha fazla örnek buluyoruz. en popüler sosyal medya uygulamalarından bazıları kullanıcılar hakkında veri topluyor. Şimdi TikTok’un kendisi iddialar konusunda oldukça gergin görünüyor onlar uygulama içi tarayıcıda bulunan kodu kullanan keylogging kullanıcıları.
Güvenlik araştırmacısı Felix Krause Perşembe günü yazdı Blog yazısı JavaScript kullanarak sayfaları değiştiren birden fazla uygulama var, ancak özellikle çok popüler bir uygulama en rahatsız edici görünüyor. Krause, TikTok’un derinliklerinde bulunan kodun, aksi takdirde keylogging olarak bilinen tüm klavye ve dokunma girişlerini izleme kapasitesine sahip olduğunu yazdı.
TikTok, kullanıcılara cihazlarında bağlantıları açma seçeneği sunmuyor’varsayılan tarayıcı. Araştırmacı, iOS cihazlarda TikTok’un sayfaları değiştirme ve meta verileri getirmek için JavaScript kodunu kullanma kapasitesine sahip olduğunu söyledi; bu, kullanıcı etkinliğini ölçmek için fazla bir şey yapmadığı için kendi başına pek önemli değil. Ancak, bir kullanarak alet Krause, geliştirdiği her metin girişini ve tıklamayı kaydetme kapasitesine sahip ek JavaScript kodunu tespit edebildi. Bu nedenle, sosyal uygulama içindeki bir bağlantıya tıkladığınızda, keylogging kodunun şifreleri ve hatta kredi kartı bilgilerini kaydetme kapasitesi vardır. Uygulama içi tarayıcıda çalıştığınız sürece, hangi bağlantılara tıkladığınızı veya arkadaşlarınıza hangi mesajları gönderebileceğinizi izleyebilir.
Krause ödevini göstererek tam olarak ne olduğunu aktarıyor kod bunun keylogging ile ilgili olduğunu buldu. Herhangi bir “tuşa basma” veya “tuş aşağı” işlevi, tuşa basışları izler. “Boşaltma” olayları, bir sayfadan diğerine geçtiğinizde, bu da uygulamanın ne zaman ilerlediğinizi bildiği anlamına gelir.
TikTok gazetecilere, kodun uygulamada önden yüklenmesine rağmen, hata ayıklama ve sorun giderme dışında “kullanmadıklarını” söyledi. Gizmodo’ya gönderilen bir açıklamada, bir TikTok sözcüsü şunları söyledi: “Raporun TikTok ile ilgili sonuçları yanlış ve yanıltıcı. Araştırmacı özellikle JavaScript kodunun uygulamamızın kötü amaçlı bir şey yaptığı anlamına gelmediğini söylüyor ve uygulama içi tarayıcımızın ne tür veriler topladığını bilmelerinin hiçbir yolu olmadığını kabul ediyor. Raporun iddialarının aksine, yalnızca hata ayıklama, sorun giderme ve performans izleme için kullanılan bu kod aracılığıyla tuş vuruşlarını veya metin girişlerini toplamıyoruz.”
G/O Media komisyon alabilir
Carnegie Mellon Üniversitesi’nde dijital medya ve pazarlama profesörü olan Ari Lightman, Gizmodo’ya bir telefon görüşmesinde TikTok’un JavaScript kodu hakkında sattığı iddiaları tam olarak satın almadığını söyledi. Bu kodun neden var olduğuna dair kesinlikle güvenlik ve kullanıcı deneyimi bileşenleri olsa da, sosyal medya şirketleri kârlarının büyük çoğunluğunu reklamlardan olmasa da iyi bir miktar yapıyor ve kullanıcı verileri bunun büyük bir parçası.
Lightman, “Ortak faktörlerden biri, platformdan çıkmanızı istememeleridir” dedi. “Kullanıcılar genellikle geri dönüş yolunu bulamıyorlar ve [TikTok] platformdan para kazanmak istediğinde veri toplayamıyor… daha fazla kullanıcının ihtiyaçlarını, isteklerini ve kişilik profillerini toplayarak bilgiden bu şekilde para kazanıyorlar.”
Şirket, JavaScript kodunun bir yazılım geliştirme kitinin, AKA bir SDK’nın parçası olduğunu ve bu kodu uzaktan kullanmadıklarını söyledi. Şirketin mevcut repertuarında aktif olmayan şirkete göre SDK, keylogging kodunu içeren üçüncü bir tarafça oluşturuldu. kullanıcı takibi yetenekler.
Hatta kullanıcıları uygulamalarının dışındaki tarayıcılara yönlendirmeye cüret etmenin kullanıcılar için kötü bir deneyim olacağını bile söylediler; bu elbette kendi cihazının sahibi olan herkesin indirmeyi seçebileceğini unutan çok küçümseyici bir argüman. herhangi bir tarayıcı kendileri için en iyisinin işe yaradığını düşünürler.
Lightman, TikTok’un buradaki mantığı konusunda da şüpheliydi. ByteDance’in sahip olduğu TikTok gibi şirketler “makine öğrenimi modelleri geliştirmede çok ustalar. Bu şeyler [like the company’s SDK] çok yoğun bir şekilde test edilir, analiz edilir ve incelenir”, bu da TikTok’un bu kodu kullanmadan orada bırakacağı fikrini “yutması zor bir şey” yapar.
Krause, araştırmasının TikTok’un veya başka herhangi bir şirketin kullanıcıları izlemek için bu JavaScript kodunu aktif olarak kullanıp kullanmadığını söyleyemediğini söyledi, ancak ilk etapta var olduğu gerçeği, kendilerine güvenilemeyeceklerini rutin olarak gösteren şirketlere ekstra yük getiriyor. Kullanıcı bilgisi. Araştırmacı daha önce yazılı JavaScript kodunu kullanarak uygulama içi web tarayıcıları kullanırken hemen hemen tüm kullanıcı etkinliğini izlemek için kullanılabilecek Instagram ve Facebook gibi uygulamaların içindeki JavaScript kodu hakkında. Kodun, reklamlara tıklandığında bile tüm etkileşimleri, metin seçimlerini ve tıklamaları izleyebileceğini söyledi. Bu son güncellemede araştırmacı, iOS’ta Instagram’ın uygulama içinde oluşturulan her düğmeye ve bağlantıya abone olduğunu da buldu. Üçüncü taraf bir web sitesinde bir metin alanı seçtiğinizde bile bunu bilir.
İçinde geçen hafta tweet açıklamasıMeta sözcüsü Andy Stone, araştırmacının iddialarının Meta’nın uygulama içi tarayıcılarının nasıl çalıştığını “yanlış temsil ettiğini” yazdı.
Ve tüm bunlar yeterince ilgili değilmiş gibi, Krause bu uygulamaların JavaScript’lerini önceden kurulmuş iOS araçlarını kullanarak gizleme kapasitesine sahip olduğunu yazdı. WKContentWorld web sitelerinin JavaScript koduna müdahale etmemesi için kod. Bu şirketlerden herhangi biri faaliyetlerini web sitelerinden veya araştırmacıdan gizlemek isterse’araçları, yapabilirlerdi ve bu konuda oldukça kolay.
Krause, blog yazısında, “Hala özel uygulama içi tarayıcılar kullanan teknoloji şirketleri, yeni WKContentWorld yalıtılmış JavaScript sistemini kullanmak için çok hızlı bir şekilde güncellenecek, bu nedenle kodları bizim için algılanamaz hale gelecek” dedi.
Apple, Gizmodo’nun, uygulamaların keylogging komut dosyası içermesini kısıtlamak için iOS özelliklerinden herhangi birini değiştirip değiştirmeyecekleri veya uygulamaların bu tür kodları çalıştırdıkları gerçeğini gizlemelerini engelleyecekleri konusunda yorum yapma talebine hemen yanıt vermedi.
TikTok, TikTok personelinin ABD verilerinin ABD verilerinin toplandığının farkında olduğunu iddia ettikten sonra, internet gizliliği savunucularından ve koridorun her iki tarafındaki kanun yapıcılardan (ancak, tahmin edebileceğiniz gibi, farklı nedenlerle) büyük miktarda ısı aldı. Çin hükümet yetkilileri. Gizmodo’nun dahili belgelere dayanan yakın tarihli bir raporu, TikTok’un fazla mesai yaptığını gösterdi. küçümsemek deve kullanıcı verilerini sunan şirket olarak yeni kimlikleri veri toplama maw bu Pekin. C’deki milletvekilleriapitol Hhasta geçme eşiğinde olabilir büyük veri gizliliği yasasıancak bazıları, son teslim tarihleri kapatılmadan önce geçeceğinden şüpheleniyor.
“Gelecekte gizlilik mevzuatı ve daha fazla denetim göreceğiz.Lightman, bunu doğrulamak için bir yasa çıkardı” dedi. “Doğrulanmış bir platformda, bunu ekonomik nedenlerle yapıyorlarsa, bunu kullanıcı deneyimi için yapıyorlarsa bunun da sorun olmadığını şart koşmaları gerekir. İnsanların ‘bir dakika…’ demesine neden olan mantıkla anlaşılmaz olmak, planlarınızın ne olduğu konusunda açık olmalısınız.”