Un ricercatore indipendente di sicurezza informatica ha lanciato l’allarme sull’app video cinese TikTok. Secondo l’esperto, l’applicazione potrebbe monitorare tutti gli input e i tocchi della tastiera tramite il suo browser in-app su iOS. Il ricercatore, Felix Krause, è fondatore di Fastlane, azienda che è stata acquisita da Google. Secondo Krause, quando un utente apre qualsiasi collegamento sull’app per iOS, si apre un browser in-app.
“Mentre interagisci con il sito Web, TikTok si iscrive a tutti gli input da tastiera (incluse password, informazioni sulla carta di credito, ecc.) e ad ogni tocco sullo schermo, come i pulsanti e i collegamenti su cui fai clic”, ha scritto Krause in un post sul suo blog. TikTok iOS, secondo il ricercatore, registra ogni sequenza di tasti (input di testo) che l’utente digita dopo aver aperto il browser all’interno dell’app TikTok.
TikTok copia password e informazioni sulle carte di credito
Secondo Krause, TikTok registra ogni input degli utenti, comprese anche password, informazioni sulla carta di credito e così via. Come ha scritto lo studioso sul proprio sito web: “Questo può includere password, informazioni sulla carta di credito e altri dati sensibili degli utenti”. Secondo la società, tali funzionalità esistono nel codice ma non vengono utilizzate nel browser in-app nell’app iOS.
“Come altre piattaforme, utilizziamo un browser in-app per fornire un’esperienza utente ottimale, ma il codice Javascript in questione viene utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni di tale esperienza, come controllare la velocità di caricamento di una pagina o se si arresta in modo anomalo”, ha affermato un portavoce della società TikTok in un rapporto di Forbes. Secondo il ricercatore, questo dimostra che “l’app inietta codice in siti Web di terze parti tramite i loro browser in-app che si comportano come un keylogger”.
