セキュリテ研究者のFelix Kraus氏によると、iOS 上のTikTok のカスタムアプリ内ブラウザは、ユーザーが特定のWebサイトとやり取りしている間に TikTokが「すべてのキーボード入力とタップ」を監視できるようにするJavaScriptコードを外部Web サイトに挿入すると報告されていますが、TikTokはそれを否定しています。挿入されたコードは、コードは悪意のある理由で使用することが可能です。。
Krause氏によると、TikTokのアプリ内ブラウザは、ユーザーがパスワードやクレジット カード情報などの機密情報を含む外部 Web サイトと対話している間、すべてのキーボード入力を「サブスクライブ」し、画面をタップするたびに入力します。
「技術的な観点から言えば、これはサードパーティのウェブサイトにキー・ロガーをインストールするのと同じです」と、TikTokが挿入する JavaScript コードに関して Krause 氏は書いています。ただし、研究者は、「アプリが外部Webサイトに JavaScript を挿入したからといって、そのアプリが悪意のあることを行っているわけではありません」と付け加えました。
TikTokの広報担当者はForbesに寄せられた声明の中で、問題の JavaScript コードを認めたものの、「最適なユーザー エクスペリエンス」を確保するためのデバッグ、トラブルシューティング、およびパフォーマンスの監視にのみ使用されると述べました。
「他のプラットフォームと同様に、最適なユーザー エクスペリエンスを提供するためにアプリ内ブラウザーを使用していますが、問題の Javascriptコードは、そのエクスペリエンスのデバッグ、トラブルシューティング、およびパフォーマンスの監視 (ページの読み込み速度やクラッシュの有無の確認など) にのみ使用されます。」とTikTokは述べています。
Krause氏は、アプリ内ブラウザでの JavaScript コードの潜在的な悪意のある使用から身を守りたいユーザーは、可能であればプラットフォームのデフォルト ブラウザ (iPhone や iPad の Safari など) で特定のリンクを表示するように切り替える必要があると述べました。
「アプリからリンクを開くときはいつでも、アプリが現在表示されているウェブサイトをデフォルトのブラウザーで開く方法を提供しているかどうかを確認してください」と Krause氏は書いています。
Krause氏によると、 FacebookとInstagramは、アプリ内ブラウザーにロードされた外部Webサイトに JavaScriptコードを挿入する他の 2 つのアプリであり、ユーザーのアクティビティを追跡する機能をアプリに提供します。
FacebookとInstagramの親会社である Metaの広報担当者はツイートで、同社は「当社のプラットフォームでの App Tracking Transparency (ATT) の選択を尊重するために、このコードを意図的に開発した」と述べています。
Krause氏は、ウェブサイトのレンダリング時にアプリ内ブラウザが JavaScriptコードを挿入しているかどうかを誰でも確認できるシンプルなツールを作成したと述べています。研究者によると、ユーザーは分析したいアプリを開き、アプリ内のどこかでアドレス InAppBrowser.com を共有し (別の人へのダイレクト メッセージなど)、アプリ内のリンクをタップしてアプリ内で開くだけで済みます。
TikTok の広報担当者は、 MacRumorsに対して次の声明を発表しました。
「TikTokに関するレポートの結論は正しくなく、誤解を招くものです。研究者は具体的に、JavaScriptコードは私たちのアプリが悪意のあることをしていることを意味するものではないと述べており、アプリ内ブラウザが収集するデータの種類を知る方法がないことを認めています。レポートの主張によると、このコードを通じてキーストロークやテキスト入力を収集することはなく、デバッグ、トラブルシューティング、およびパフォーマンスの監視のみに使用されます。」
TikTok の広報担当者によると、JavaScript コードはTikTok が活用しているソフトウェア開発キット (SDK) の一部であり、Krause氏が言及した「キープレス」および「キーダウン」機能は、TikTok がキーストロークのログ記録に使用しないとのことです。
(via MacRumors)
Last Updated on 2022年8月20日 by Editor
関連記事をどうぞ!
※このサイトの記事には「噂」や「疑惑」など、不確定な情報が含まれています。ご了承ください。(管理人)