Chuyên gia: TikTok có thể theo dõi các lần gõ phím của người dùng trong trình duyệt của ứng dụng iOS

Giúp NTDVN sửa lỗi

Theo một nhà nghiên cứu từng làm việc cho Google và Twitter, TikTok ghi lại các thao tác gõ phím của người dùng bằng trình duyệt trong ứng dụng trên các thiết bị Apple, bao gồm cả mật khẩu và số thẻ tín dụng.

Nhà phát triển ứng dụng và nhà nghiên cứu quyền riêng tư Felix Krause đã xuất bản một báo cáo về những rủi ro liên quan đến việc một số ứng dụng iOS đưa mã JavaScript vào trình duyệt của bên thứ ba.

Trong số bảy ứng dụng iOS phổ biến nhất được phân tích, TikTok có trụ sở tại Bắc Kinh là ứng dụng duy nhất không cung cấp cho người dùng tùy chọn mở liên kết bằng trình duyệt của bên thứ ba.

Ông Krause nhận thấy rằng ứng dụng iOS của TikTok “giám sát tất cả các lần nhấn diễn ra trên các trang web, bao gồm các lần nhấn trên tất cả các nút và liên kết” được truy cập thông qua trình duyệt trong ứng dụng của nó.

“TikTok iOS đăng ký mọi thao tác gõ phím (nhập văn bản) xảy ra trên các trang web của bên thứ ba được hiển thị bên trong ứng dụng TikTok. Điều này có thể bao gồm mật khẩu, thông tin thẻ tín dụng và dữ liệu người dùng nhạy cảm khác (nhấn phím và nhấn phím)”, ông Krause viết.

“Chúng tôi không thể biết TikTok sử dụng đăng ký để làm gì, nhưng từ góc độ kỹ thuật, điều này tương đương với việc cài đặt keylogger trên các trang web của bên thứ ba”.

TikTok xác nhận rằng mã tồn tại trong ứng dụng iOS của nó, nhưng tuyên bố rằng TikTok không sử dụng mã này.

“Giống như các nền tảng khác, chúng tôi sử dụng trình duyệt trong ứng dụng để cung cấp trải nghiệm người dùng tối ưu, nhưng mã Javascript được đề cập chỉ được sử dụng để gỡ lỗi, khắc phục sự cố và giám sát hiệu suất của trải nghiệm đó — chẳng hạn như kiểm tra tốc độ tải trang hoặc liệu ứng dụng có xảy ra sự cố hay không", người phát ngôn của TikTok, bà Maureen Shanahan cho biết trong một tuyên bố do ông Krause thu được.

Ông Krause đã phân tích TikTok, Facebook, Instagram, Snapchat, Amazon, Robinhood và Messenger bằng một công cụ do ông phát triển có tên là InAppBrowser.com.

Theo báo cáo, chỉ có Snapchat và Robinhood không đưa bất kỳ mã JavaScript nào vào. Facebook, Instagram và Messenger đã tiêm một số mã, nhưng ông Krause nói rằng “không có nghĩa là ứng dụng đang làm bất cứ điều gì độc hại”.

“Chỉ vì một ứng dụng đưa JavaScript vào các trang web bên ngoài, không có nghĩa là ứng dụng đó đang làm bất cứ điều gì độc hại. Không có cách nào để chúng tôi biết chi tiết đầy đủ về loại dữ liệu mà mỗi trình duyệt trong ứng dụng thu thập, hoặc cách thức hoặc liệu dữ liệu đang được chuyển hoặc sử dụng”, ông Krause viết.

Những rủi ro

Ông Krause cho biết rủi ro xảy ra khi người dùng mở liên kết trong khi sử dụng ứng dụng iOS, chẳng hạn như vào TikTok và xem trang web được hiển thị bên trong ứng dụng đó thay vì mở liên kết bằng trình duyệt của bên thứ ba, chẳng hạn như Safari hoặc Chrome.

Một số mã JavaScript cho phép các ứng dụng biết người dùng đã truy cập trang web được liên kết trong bao lâu, họ đã mở liên kết nào, họ đã nhấn vào cái gì, dữ liệu vị trí nếu được bật và thậm chí ghi lại người dùng hoặc "phân tích khuôn mặt của họ" trong khi duyệt, ông Krause lưu ý trong một bài đăng trên blog vào năm 2018.

Điều này xảy ra “mà không có sự đồng ý từ người dùng, cũng như nhà cung cấp trang web”, ông nói.

Ví dụ: một người sử dụng ứng dụng Safari trên iPhone của họ có thể được lưu thông tin đăng nhập hoặc thẻ tín dụng của họ để thuận tiện. Nhưng nếu họ truy cập một trang bằng trình duyệt trong ứng dụng của TikTok, mọi thông tin đăng nhập hoặc thanh toán sẽ cần được nhập mới. Theo báo cáo, những lần gõ phím đó đang được theo dõi.

Ông Krause viết: “Điều này gây ra nhiều rủi ro khác nhau cho người dùng, với ứng dụng lưu trữ có thể theo dõi mọi tương tác với các trang web bên ngoài, từ tất cả các đầu vào biểu mẫu như mật khẩu và địa chỉ”.

Các chuyên gia từ lâu đã cảnh báo rằng TikTok không thể được tin tưởng do mối quan hệ của công ty với Đảng Cộng sản Trung Quốc (ĐCSTQ). Điều này đã khiến công ty bị giám sát chặt chẽ.

Luật an ninh của Trung Quốc buộc các công ty phải hợp tác với các cơ quan tình báo khi được yêu cầu. TikTok đã nói rằng nó sẽ không tuân theo bất kỳ yêu cầu nào của ĐCSTQ đối với dữ liệu người dùng.

Ông Casey Fleming, Giám đốc điều hành của công ty chiến lược an ninh và tình báo BlackOps Partners, đã nói rằng ĐCSTQ đang tham gia vào “cuộc chiến không hạn chế” khi tìm cách thay thế Hoa Kỳ để trở thành siêu cường duy nhất trên thế giới.

Ông nói: “Tất cả công nghệ ra khỏi Trung Quốc - được sản xuất ở Trung Quốc, được tạo ra ở Trung Quốc - đều do ĐCSTQ kiểm soát".

“TikTok là một nền tảng gián điệp vũ khí hóa do ĐCSTQ kiểm soát trong tay của hầu hết trẻ em và thanh niên của bạn. Đó là cách thức mà chiến tranh ngày nay có thể có - chiến tranh hỗn hợp. Nó nên bị chính phủ Mỹ cấm ngay lập tức”.

Một chuyên gia khác cho biết ứng dụng này có thể được sử dụng để theo dõi người Mỹ, với số lượng lớn dữ liệu mà TikTok thu thập về người dùng của mình, chủ yếu là người Mỹ trẻ tuổi.

“Nếu bạn muốn do thám một quốc gia, tại sao lại cần phải gửi một điệp viên theo cách cổ điển? Tại sao không chỉ gửi một ứng dụng tuyệt vời và làm cho nó lan truyền?" Ông Gary Miliefsky, một chuyên gia an ninh mạng và là nhà xuất bản của Tạp chí Phòng thủ Mạng, cho biết trong một tuyên bố trước đây được đăng bởi The Epoch Times.

Minh Đăng

Theo The Epoch Times



BÀI CHỌN LỌC

Chuyên gia: TikTok có thể theo dõi các lần gõ phím của người dùng trong trình duyệt của ứng dụng iOS