アンバー・ニーリー
· 1分で読めます
TikTok のアプリ内ブラウザは外部ウェブサイトに JavaScript を挿入し、パスワードやクレジットカード番号を含むすべての入力をアプリが監視できるようにします。
2020年、TikTokがユーザーのクリップボードにアクセスしていたことが発覚しました。そして今、TikTokが再びユーザーを盗聴していたことが発覚しました。
セキュリティ研究者のフェリックス・クラウス氏によると、ユーザーがTikTok内のリンクを開くと、アプリは外部ウェブサイト上でのユーザーの行動をすべて監視できるようになる。これには、入力内容だけでなく、ボタンやリンクのタップも含まれる。
「これは会社が積極的に選択したことです」とクラウス氏はフォーブス誌に語った。「これは決して簡単なエンジニアリング作業ではありません。ミスや偶然に起こるものではありません。」
TikTokの広報担当者はフォーブスに対し、このコードは悪意のあるものではなく、「デバッグ、トラブルシューティング、パフォーマンス監視」のために使用されるものだと語った。
さらに、TikTokはJavaScriptがサードパーティのソフトウェア開発キットの一部であると主張したが、誰が作成したかは明らかにしなかった。
クラウス氏は、TikTokがユーザーからデータを収集しているかどうかについては言及しなかったが、収集できるとだけ述べた。
監視を避けるため、クラウス氏は、TikTok やアプリ内ブラウザを備えたほぼすべての他のサービスで共有されたリンクを Safari で開くことを提案している。
アップデート
TikTokはAppleInsiderに連絡を取り、次のような声明を出しました。
TikTokに関する報告書の結論は誤りであり、誤解を招くものです。研究者は、JavaScriptコードがアプリが悪意のある行為を行っていることを意味するものではないと明言し、アプリ内ブラウザがどのようなデータを収集しているかを知る術がないことを認めています。報告書の主張とは異なり、このコードはデバッグ、トラブルシューティング、パフォーマンス監視のみに使用されており、キー入力やテキスト入力は収集していません。
