Çince kısa biçimli video uygulaması TikTok bağımsız bir siber güvenlik araştırmacısı, iOS’taki uygulama içi tarayıcısı aracılığıyla tüm klavye girişlerini ve dokunuşlarını izliyor olabileceği konusunda uyardı.
Google tarafından satın alınan Fastlane’in Kurucusu Felix Krause, kullanıcı TikTok iOS uygulamasında herhangi bir bağlantı açtığında, uygulama içi tarayıcısında açıldığını söyledi.
Krause, Perşembe günkü bir blog yazısında, “Siz web sitesiyle etkileşime girerken, TikTok tüm klavye girişlerine (şifreler, kredi kartı bilgileri vb. dahil) ve ekranda hangi düğmelere ve bağlantılara tıkladığınız gibi her dokunuşa abone oluyor” dedi. .
TikTok iOS, içinde oluşturulan üçüncü taraf web sitelerinde gerçekleşen her tuş vuruşuna (metin girişleri) abone olur. TikTok uygulamasıdedi.
Krause, “Bu, şifreleri, kredi kartı bilgilerini ve diğer hassas kullanıcı verilerini içerebilir” dedi.
Teknik açıdan bu, üçüncü taraf web sitelerine bir keylogger yüklemeye eşdeğerdir.
Şirket, bu özelliklerin kodda bulunduğunu doğruladı, ancak bunları iOS uygulamasında uygulama içi tarayıcısında kullanmadığını söyledi.
“Diğer platformlar gibi, optimum kullanıcı deneyimi sağlamak için bir uygulama içi tarayıcı kullanıyoruz, ancak söz konusu Javascript kodu yalnızca hata ayıklama, sorun giderme ve bu deneyimin performans izlemesi için kullanılıyor – örneğin bir sayfanın ne kadar hızlı yüklendiğini veya çöküp çökmediğini kontrol etmek gibi ,” bir şirket sözcüsünün Forbes raporunda söylediği kaydedildi.
Araştırmacıya göre, “TikTok’un uygulama içi tarayıcıları aracılığıyla bir keylogger gibi davranan üçüncü taraf web sitelerine kod enjekte ettiğini kanıtlıyor. Ancak, kullanılmadığını iddia ediyor”.
“Bu, şirketin yaptığı aktif bir seçimdi. Bu, önemsiz olmayan bir mühendislik görevidir. Bu, yanlışlıkla veya rastgele olmaz” dedi.
FacebookheyecanLinkedin
