Takto dokáže TikTok sledovať vaše heslá a ďalšie veci, ktoré v telefóne robíte

Čínska sociálna sieť TikTok patrí medzi najpopulárnejšie a najrýchlejšie rastúce platformy. Jej krátke videá si získavajú čoraz väčšie publikum a to aj napriek tomu, že rovnako ako iné sociálne siete má svoje problémy, ktoré súvisia najmä so zberom informácií o používateľoch. Teraz sa k tomu pridávajú ďalšie problémy.

Bývalý inžinier spoločnosti Google Felix Krause sa teraz venuje téme online bezpečnosti na svojom blogu a zverejnil ďalší prekvapivý článok. Už pred pár dňami priniesol informácie o tom, že sociálne siete Facebook a Instagram od spoločnosti Meta využívajú kód na sledovanie používateľov. Teraz to rozšíril a priniesol informácie o tom, ako sociálne siete využívajú takýto kód na získavanie rôznych informácií, pričom práve sieť TikTok dopadla najhoršie.

Zameral sa na situácie, kedy využívate zabudovaný internetový prehliadač týchto sietí namiesto natívneho internetového prehliadača vo svojom telefóne. Ak napríklad na niektorej zo sociálnych sietí vidíte odkaz na nejakú stránku a kliknete naň, aplikácia ho rovno otvorí vo svojom vlastnom internetovom prehliadači.

Sociálne siete pritom vkladajú JavaScript kódy do internetových stránok tretích strán, vďaka čomu dokážu stránku modifikovať, zbierať metadáta, vytvárať nové HTML elementy a podobne. Niektoré z týchto vecí sú neškodné, napríklad zbieranie metadát. Iné zase už môžu potenciálne predstavovať bezpečnostné riziko, prípadne predstavujú narušenie súkromia. Krause populárne stránky a siete podrobil teste na mobilnej platforme iOS, takže výsledky sa vzťahujú na zariadenia s týmto systémom. Môžeme ale predpokladať, že na platforme Android budú výsledky podobné.

Krause zistil, že Facebook, Instagram, Messenger aj TikTok tiež modifikujú obsah stránok a tiež zbierajú metadáta. Upozorňuje však, že to automaticky neznamená, že robia niečo nekalé. Napríklad aj Amazon zbiera metadáta, avšak nemodifikuje obsah stránky. Avšak kým ostatné platformy majú možnosť otvoriť odkazy v natívnom prehliadači zariadenia (a teda sa môžete vyhnúť tomuto vkladaniu kódov), TikTok túto možnosť nemá a všetko otvára len vo svojom vlastnom prehliadači.

Foto: krausefx.com

To však nie je jediný problém. Krause zistil, že ak otvoríte odkaz cez TikTok aplikáciu na iOS, tá odkaz otvorí vo svojom prehliadači a následne zbiera všetky vstupy na stránke. Medzi nimi aj vstupy na klávesnici zariadenia a tiež dotykové ovládanie. Takto dokáže TikTok sledovať napríklad vaše heslá, číslo kreditnej karty, jednoducho všetko, čo cez jeho zabudovaný prehliadač zadáte. Samotný Krause to prirovnáva k nainštalovaniu keyloggera (čo je softvér alebo hardvér zaznamenávajúci stlačenia klávesov alebo iných vstupov) na internetových stránkach tretích strán.

V oficiálnom vyjadrení zástupcovia TikToku potvrdili, že tieto funkcie existujú, ale že ich nevyužíva. JavaScript kódy podľa ich slov využívajú len na odstraňovanie chýb a monitorovanie výkonu, napríklad to, ako rýchlo sa stránka načíta a podobne.