Un ex ingegnere di Google, Felix Krause, aveva scoperto che le app Facebook e Instagram possono tracciare le attività degli utenti attraverso un codice JavaScript iniettato nelle pagine web. Il ricercatore ha ora rivelato che TikTok per iOS può registrare tutti gli input. In pratica funziona come un keylogger.
TikTok per iOS nasconde un keylogger?
Quando l’utente tocca un link in TikTok per iOS, l’app apre la pagina web con il browser interno. Felix Krause ha scoperto che viene iniettato nel sito un codice JavaScript in grado di funzionare come un keylogger. L’app registra il testo inserito nelle pagine (password, dati delle carte di credito e altre informazioni) e ogni tap sullo schermo (ad esempio su pulsanti, link e immagini). È chiaro che si tratta di un grave problema di privacy.
Nel caso di Facebook e Instagram è possibile evitare il tracciamento visualizzando le pagine con Safari o altri browser. TikTok per iOS non permette invece di aprire i link con un browser esterno. L’utente ha quindi due opzioni: non cliccare su nessun link oppure copiare e incollare l’URL nel browser esterno. Un portavoce di TikTok ha confermato la presenza del codice JavaScript, sottolineando però che non viene usato per registrare gli input:
Come altre piattaforme, utilizziamo un browser in-app per fornire un’esperienza utente ottimale, ma il codice JavaScript in questione viene utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni di tale esperienza, ad esempio per controllare la velocità di caricamento di una pagina o la verifica di un crash.
Il ricercatore ha rilasciato un tool denominato InAppBrowser, che permette di verificare la presenza del codice JavaScript nelle app e le azioni corrispondenti. È sufficiente aprire l’app, condividere il link alla pagina https://inappbrowser.com/
(ad esempio in un commento o un messaggio diretto) e successivamente cliccare sul link.