TikTok može da prati vaše aktivnosti na sajtovima koje otvorite preko aplikacije

Vesti, 23.08.2022, 09:00 AM

Istraživač bezbednosti i softverski inženjer Feliks Kraus otkrio je zapanjujuće detalje o popularnim aplikacijama i objasnio kako ove aplikacije prate i prikupljaju korisničke podatke preko pregledača u aplikaciji.

U svom istraživanju, Kraus je analizirao kod koji aplikacije ubacuju na veb sajt kako bi se pratile aktivnosti korisnika, uključujući linkove na koje se klikne ili oglase kada se sajt otvori preko aplikacije.

Kraus je osnivač kompanije za testiranje aplikacija Fastlane, sa sedištem u Beču, koju je 2017. kupio Google. On je poznat po istraživačkom radu i ukazivanju na nedostatak privatnosti pametnih uređaja.

Na primer, u oktobru 2017. godine, Kraus je otkrio da bilo koja lažna aplikacija na iPhoneu može da koristi kameru uređaja da tajno špijunira korisnika zloupotrebom podrazumevane dozvole i korišćenjem prednje i zadnje kamere u zlonamerne svrhe.

Iste godine, Kraus je otkrio kako sajber-kriminalci mogu da koriste iskačuće dijaloške okvire iPhonea da izvedu fišing napade sa ciljem da se korisnici prevare da daju svoj Apple ID i lozinku.

Kraus je ovog puta analizirao nekoliko različitih aplikacija, uključujući i TikTok. Kada je kliknuo na link u aplikaciji TikTok, on se otvorio preko pretraživača u aplikaciji umesto preko podrazumevanog. Ovo je ukazivalo na to da pregledač u aplikaciji TikTok može da prati aktivnosti korisnika na spoljnim sajtovima kojima korisnici pristupaju preko TikToka.

Ono što se dešava je da aplikacija ubacuje kod na sajt omogućavajući mu da nadgleda ključne aktivnosti korisnika kao što je pritiskanje tastera.

U razgovoru za Forbs, Kraus je naveo da se čini da je ovo „aktivan izbor“ kompanije. „Ovo se ne dešava greškom ili slučajno“, dodao je Kraus.

Sve u svemu, Kraus je osim TikToka analizirao sedam iPhone aplikacija koristeći pretraživače u aplikaciji, uključujući Facebook, Instagram, Facebook Messenger, Snapchat, Robinhood i Amazon. On je otkrio da je TikTok jedina aplikacija koja može da prati pritisak na tastere, dok Instagram može da prati dodire telefona i slike na koje korisnik klikne.

Međutim, TikTok tvrdi da je ova funkcija onemogućena, i da pretraživač u aplikaciji ne može da evidentira pritiske tastera. Ali prisustvo ovog sistema trebalo bi da bude upozorenje jer može predstavljati ogroman rizik za korisnike.

TikTok je priznao da su ove funkcije prisutne u kodu aplikacije, ali je istakao da ih TikTok nikada nije koristio za praćenje aktivnosti korisnika.

Pretraživač u aplikaciji se navodno koristi za poboljšanje korisničkog iskustva, a JavaScript kod se koristi za „otklanjanje grešaka u rešavanju problema i praćenje performansi tog iskustva“.

Predstavnik kompanije tvrdi da je pretraživač u aplikaciji tu da proveri koliko se brzo stranica učitava i da li se ruši ili ne.

Kompanija je rekla i da je kod deo SDK-a drugog proizvođača koji se koristi za održavanje/razvoj aplikacija. TikTok, međutim, tvrdi da ne koriste mnoge funkcije ovog SDK-a.

Ovo nije prvi put da se TikTok pojavio u naslovima zbog zabrinutosti za privatnost. U avgustu 2020. Wall Street Journal je optužio kineskog giganta društvenih medija da prikuplja MAC adrese i jedinstvene identifikatore svojih korisnika na Android uređajima i šalje ih u Byte Dance, svoju matičnu kompaniju.