Τα κοινωνικά δίκτυα έχουν μπει στις ζωές μας αλλά και πολύ παραπάνω έχουν βρει τον τρόπο να εισχωρήσουν στα προσωπικά μας δεδομένα, τα οποία οικειοθελώς παραδίδουμε στις εταιρίες αυτές.
Τώρα ένας αναλυτής ασφαλείας, ο Felix Krause ανήρτησε μια έρευνά του στο blog του όπου αποκαλύπτει πως πολλές εφαρμογές τροποποιούν τις σελίδες τους με JavScript, όμως μια συγκεκριμένη και δημοφιλέστατη εφαρμογή είναι αυτή που προκαλεί περισσότερο ανησυχία.
Αναφερόμαστε φυσικά στο TikTok, όπου ο Krause ανακάλυψε κώδικα θαμμένο βαθιά στην εφαρμογή του που έχει τη δυνατότητα να παρακολουθεί κάθε πλήκτρο και κάθε tap που πατάτε στην οθόνη του κινητού σας -κοινώς γνωστό ως keylogging.
Το TikTok δεν δίνει στους χρήστες τη δυνατότητα να ανοίγουν συνδέσμους στον προεπιλεγμένο browser της συσκευής τους.
- Ο ερευνητής δήλωσε ότι στις iOS συσκευές, το TikTok έχει τη δυνατότητα να τροποποιεί σελίδες και να χρησιμοποιεί κώδικα JavaScript για να αντλεί μεταδεδομένα, κάτι που από μόνο του δεν είναι πολύ ανησυχητικό, καθώς δεν κάνει πολλά για να ποσοτικοποιήσει τη δραστηριότητα των χρηστών.
Ωστόσο, χρησιμοποιώντας ένα εργαλείο που ανέπτυξε, ο Krause μπόρεσε να εντοπίσει πρόσθετο κώδικα JavaScript που έχει τη δυνατότητα να καταγράφει κάθε εισαγωγή κειμένου και κλικ. Έτσι, όταν κάνετε κλικ σε έναν σύνδεσμο μέσα στην κοινωνική εφαρμογή, ο keylogging κώδικας έχει τη δυνατότητα να καταγράφει κωδικούς πρόσβασης ή ακόμη και πληροφορίες πιστωτικής κάρτας. Μπορεί να παρακολουθεί σε ποιους συνδέσμους κάνετε κλικ ή ποια μηνύματα μπορεί να στείλετε σε φίλους, εφόσον λειτουργείτε μέσα στο πρόγραμμα περιήγησης της εφαρμογής.
Τι απάντησε το TikTok
Το TikTok έδωσε τη δική του απάντηση στα όσα ισχυρίζεται η έρευνα του Krause λέγοντας ότι αν και ο κώδικας είναι ενσωματωμένος στην εφαρμογή, “απλά “δεν τον χρησιμοποιούν“, εκτός κι αν πρόκειται για λόγους debugging και αντιμετώπισης προβλημάτων.
Σε μια δήλωση που στάλθηκε στο Gizmodo, ένας εκπρόσωπος του TikTok δήλωσε: “Τα συμπεράσματα της έκθεσης σχετικά με το TikTok είναι λανθασμένα και παραπλανητικά. Ο ερευνητής αναφέρει συγκεκριμένα ότι ο κώδικας JavaScript δεν σημαίνει ότι η εφαρμογή μας κάνει κάτι κακόβουλο και παραδέχεται ότι δεν έχει τρόπο να γνωρίζει τι είδους δεδομένα συλλέγει το πρόγραμμα περιήγησης εντός της εφαρμογής μας. Σε αντίθεση με τους ισχυρισμούς της έκθεσης, δεν συλλέγουμε εισόδους πληκτρολόγησης ή κειμένου μέσω αυτού του κώδικα, ο οποίος χρησιμοποιείται αποκλειστικά για debugging, αντιμετώπιση προβλημάτων και παρακολούθηση των επιδόσεων“.