Bir geliştirici, TikTok'un iPhone uygulamasının uygulama içi tarayıcısıyla şifreleri ve diğer hassas verileri çalabileceği konusunda uyardı. Ancak uygulamanın bunu yaptığına dair bir kanıt yok.
Perşembe günü bir geliştirici, TikTok'un iOS uygulamasının, şirketin "şifreler ve tüm dokunuşlar dahil tüm tuş vuruşlarını" izlemesine izin verebilecek kod içerdiğini iddia etti.
Bir Twitter dizisinde ve bir blog gönderisinde , daha önce Google ve Twitter'da çalışan ve geçmişte güvenlik ve gizlilik sorunları bulan bir geliştirici olan Felix Krause, bir bağlantı açtığınızda TikTok'un iPhone uygulamasının bir uygulama içi tarayıcı açtığını yazdı. Bu uygulama içi tarayıcıda bulunan bazı JavaScript kodları sayesinde Krause, TikTok'un TikTok uygulamasında oluşturulan üçüncü taraf web sitelerinde gerçekleşen her tuş vuruşuna (metin girişleri) abone olduğu konusunda uyarıyor. Bu, parolaları, kredi kartı bilgilerini ve diğer hassas kullanıcı verilerini içerebilir.”
Bulguları, bu potansiyel birkaç web sitesi tarafından rapor edildi. Ancak Krause, kendi bulgularını koruyarak şunları yazdı: "TikTok'un aboneliği ne için kullandığını bilemeyiz, ancak teknik açıdan bu, üçüncü taraf web sitelerine bir keylogger yüklemekle eşdeğerdir."
Çevrimiçi bir sohbette Krause, raporunun “TikTok'un aslında bu verileri kaydettiğini ve kullandığını söylemediğini söyledi. TikTok'un üçüncü taraf web sitelerinde gerçekleşen tuş vuruşlarını izlemek için kodu olan uygulama içi tarayıcıları aracılığıyla JavaScript'i nasıl enjekte ettiğinden bahsettim. Sistemin gerçekten kullanılıp kullanılmadığı ve nasıl kullanıldığı hakkında konuşamayacağımı vurguladım.”
TikTok suçlamayı şiddetle reddetti. Tiktok'un yaptığı bir açıklamada, bir şirket sözcüsü şunları yazdı: “Raporun TikTok ile ilgili sonuçları yanlış ve yanıltıcı. Araştırmacı özellikle JavaScript kodunun uygulamamızın kötü amaçlı bir şey yaptığı anlamına gelmediğini söylüyor ve uygulama içi tarayıcımızın ne tür veriler topladığını bilmelerinin hiçbir yolu olmadığını kabul ediyor. Raporun iddialarının aksine, yalnızca hata ayıklama, sorun giderme ve performans izleme için kullanılan bu kod aracılığıyla tuş vuruşlarını veya metin girişlerini toplamıyoruz.”
TikTok'un iOS uygulaması tarafından kullanılan kodu analiz eden bağımsız bir siber güvenlik ve gizlilik araştırmacısı Zach Edwards, Krause'nin bulgularının kesin olmadığı konusunda da uyardı. Edwards, TikTok uygulamasındaki JavaScript'in uygulamaya yazılan bilgileri "sıyırabileceğini" kabul ederken, Edwards, bir uygulamanın şifre form alanları gibi formları gerçekten kazıyıp kazımadığını ancak uygulamanın sunucularına hangi verileri gönderdiğini izleyerek doğrulanabileceğini söyledi.
"Felix, TikTok'u olduğundan daha kötü gösteriyor - ve bu talihsiz çünkü oldukça kötüler" dedi.
Yine de Edwards, uygulama içi tarayıcıların "çılgınca tehlikeli" olduğunu çünkü teorik olarak uygulamalara hassas bilgileri kazıma yeteneği verdiklerini söyledi. Bu yüzden Apple ve Google'ın kullanıcılara onları devre dışı bırakma şansı vermesi gerektiğini düşünüyor.
0 Yorumlar