„TikTok“ naršyklėje programoje gali būti klaviatūros registravimas, įspėja privatumo analizė – „TechCrunch“.

„Saugokitės naršyklių programoje“ yra gera taisyklė bet kuriam privatumą besirūpinančiam mobiliųjų programų naudotojui – atsižvelgiant į tai, kad programa gali pritraukti naudotojo dėmesį, kad galėtų stebėti, ką žiūrite per naršyklės programinę įrangą, kurią ji taip pat valdo. Tačiau antakiai kyla dėl „TikTok“ programos naršyklės elgesio po nepriklausomybės privatumo tyrimai kūrėjas Felixas Krause’as rado socialinio tinklo „iOS“ programėlę, įvedančią kodą, leidžiantį stebėti visus klaviatūros įvestis ir bakstelėjimus. Aka, klavišų registravimas.

„TikTok iOS prenumeruoja kiekvieną klavišo paspaudimą (teksto įvestis), vykstantį trečiųjų šalių svetainėse, pateiktose TikTok programoje. Tai gali būti slaptažodžiai, kredito kortelės informacija ir kiti slapti vartotojo duomenys“, – įspėja Krause tinklaraščio straipsnis detalizuojantis išvadas. „Negalime žinoti, kam „TikTok“ naudoja prenumeratą, tačiau iš techninės perspektyvos tai prilygsta klavišų registratoriaus įdiegimui trečiųjų šalių svetainėse“. [emphasis his]

Po publikavimo pranešimas Praėjusią savaitę, daugiausia dėmesio skiriant „Meta“ „Facebook“ ir „Instagram“ iOS programų galimybėms sekti jų naršyklių programoje naudotojus, „Krause“ paleido įrankį, vadinamą InAppBrowser.com, kuri leidžia programų mobiliesiems naudotojams gauti išsamios informacijos apie kodą, kurį įveda programos naršyklės, išvardijant „JavaScript“ komandas, kurias programa vykdo pateikiant puslapį. (Pastaba: jis perspėja, kad įrankis nebūtinai pateikia visų vykdomų „JavaScript“ komandų sąrašą ir negali sekti programos, kurią gali atlikti naudodama savąjį kodą, todėl geriausiu atveju jis suteikia galimybę pažvelgti į galimai eskizinę veiklą.)

Krause panaudojo įrankį, kad pateiktų trumpą, lyginamąją daugelio pagrindinių programų analizę, kuri, atrodo, iškelia „TikTok“ į viršų pagal elgseną programose esančiose naršyklėse – dėl įvesties apimties ji buvo nustatyta prenumeruojant. juos; ir tai, kad ji nesuteikia vartotojams galimybės naudoti numatytąją naršyklę mobiliesiems (ty vietoj savo naršyklės programoje) žiniatinklio nuorodoms atidaryti. Pastaroji reiškia, kad nėra jokio būdo išvengti „TikTok“ stebėjimo kodo įkėlimo, jei naudojate jos programą nuorodoms peržiūrėti – vienintelė galimybė išvengti šios privatumo rizikos yra visiškai atsisakyti programos ir naudoti mobiliąją naršyklę, kad nuoroda būtų tiesiogiai įkelta ( ir jei negalite nukopijuoti ir įklijuoti, turėsite atsiminti URL, kad tai padarytumėte).

Krause atkreipia dėmesį į tai, kad vien todėl, kad jis nustatė, kad „TikTok“ užsiprenumeruoja kiekvieną klavišo paspaudimą, kurį vartotojas daro trečiųjų šalių svetainėse, peržiūrimose programos naršyklėje, nebūtinai reiškia, kad jis elgiasi su prieiga „bet ką piktavališko“ – kaip pažymi jis.pašaliniai asmenys negali žinoti visos informacijos apie tai, kokie duomenys renkami, kaip ir ar jie perduodami ar naudojami. Tačiau akivaizdu, kad pats elgesys kelia klausimų ir kelia pavojų privatumui TikTok vartotojams.

Susisiekėme su „TikTok“ dėl stebėjimo kodo, kurį jis įveda į trečiųjų šalių svetaines, ir atnaujinsime šią ataskaitą su bet kokiu atsakymu.

Atnaujinimas: Bendrovės atstovas spaudai išsiuntė šį pareiškimą:

Ataskaitoje pateiktos išvados apie „TikTok“ yra neteisingos ir klaidinančios. Tyrėjas konkrečiai teigia, kad „JavaScript“ kodas nereiškia, kad mūsų programėlė daro ką nors kenksminga, ir pripažįsta, kad jie negali žinoti, kokius duomenis renka mūsų programėlėje esanti naršyklė. Priešingai nei teigiama ataskaitoje, mes nerinksime klavišų paspaudimų ar teksto įvesties naudodami šį kodą, kuris naudojamas tik derinimui, trikčių šalinimui ir našumo stebėjimui.

„TikTok“ teigia, kad „Krause“ identifikuoti „klavišų paspaudimo“ ir „paspaudimo klavišų“ įvestis yra įprastos įvesties, teigiančios, kad neteisinga daryti prielaidas apie jų naudojimą remiantis tik tyrime pabrėžtu kodu.

Norėdamas tai patvirtinti, atstovas nurodė ne tik „TikTok“. tas pats kodas iš GitHub kurie, jų nuomone, sukeltų lygiai tokį patį atsaką, kurį tyrimas nurodo kaip netinkamo duomenų rinkimo įrodymą, bet yra naudojamas suaktyvinti komandą, vadinamą „StopListening“, kuri, jų teigimu, konkrečiai neleistų programai užfiksuoti, kas įvedama.

Jie taip pat tvirtino, kad „JavaScript“ kodas, pabrėžtas tyrime, naudojamas tik programoje esančios naršyklės derinimui, trikčių šalinimui ir našumo stebėjimui, siekiant optimizuoti vartotojo patirtį, pvz., patikrinti, kaip greitai įkeliamas puslapis, ar jis sugenda. Ir sakė, kad aptariamas „JavaScript“ taip pat yra jo naudojamo SDK dalis – toliau tvirtinama, kad vien todėl, kad egzistuoja tam tikras kodas, dar nereiškia, kad įmonė jį naudoja. Atstovas taip pat pabrėžė skirtumą tarp leidimų, leidžiančių programėlėms pasiekti tam tikrų kategorijų informaciją vartotojo įrenginyje (dar žinomas kaip „iškviesti“), o ne duomenų rinkimą ar apdorojimą pagal programų parduotuvės politiką – siūlydamas daug elementų, susijusių su informacijos kategorijomis. gali būti analizuojama lokaliai įrenginyje, „TikTok“ niekada nerenkant pačios informacijos.

„TikTok“ atstovas taip pat mums pasakė, kad ji nesuteikia vartotojams galimybės nenaudoti jos programoje esančios naršyklės, nes reikės nukreipti juos už programos ribų.

Jie taip pat pakartojo ankstesnis viešas „TikTok“ atsisakymas kad jis užsiima klavišų paspaudimų registravimu (ty fiksuoja turinį), bet pasiūlė naudoti klavišų paspaudimų informaciją, kad aptiktų neįprastus modelius ar ritmus, pvz., ar kiekviena įvedama raidė yra lygiai 1 klavišas per sekundę, kad padėtų apsisaugoti nuo netikrų prisijungimų, panašių į šlamštą. komentarai ar kitoks elgesys, galintis kelti grėsmę jos platformos vientisumui.

„TikTok“ atstovas teigė, kad duomenų rinkimo lygis yra panašus į kitas programas, kurios taip pat renka informaciją apie tai, ko vartotojai ieško programoje, kad galėtų rekomenduoti atitinkamą turinį ir pritaikyti paslaugą.

Jie patvirtino, kad naudotojai, naršantys žiniatinklio turinį savo programoje, yra stebimi dėl panašaus suasmeninimo, pvz., pasirenka atitinkamus vaizdo įrašus, kurie bus rodomi jų sklaidos kanale. Jie taip pat pažymėjo, kad „TikTok“ taip pat gali rinkti duomenis apie naudotojų veiklą kitur, reklamuotojo programose ir svetainėse, kai tos trečiųjų šalių įmonės nusprendžia su ja dalytis tokiais duomenimis.

Krause taip pat nustatė, kad meta valdomos programos „Instagram“, „Facebook“ ir „FB Messenger“ modifikuoja trečiųjų šalių svetaines, įkeltas per jų programėlių naršykles – su „potencialiai pavojingomis“ komandomis, kaip jis sako, ir mes taip pat kreipėsi į techniką. milžinas už atsakymą į išvadas.

Privatumas ir duomenų apsauga Europos Sąjungoje reguliuojami įstatymais, įskaitant Bendrąjį duomenų apsaugos reglamentą (BDAR) ir E. privatumo direktyvą, todėl bet koks naudotojų stebėjimas regione, kuriam trūksta tinkamo teisinio pagrindo, gali sukelti reguliavimo sankcijas.

Pastaraisiais metais abiem socialinės žiniasklaidos milžinams jau buvo taikytos įvairios ES procedūros, tyrimai ir teisės aktai, susiję su privatumo, duomenų ir vartotojų apsaugos problemomis. artėja kai kurie svarbūs sprendimai.

Atnaujinimas: Airijos duomenų apsaugos komisija, kuri yra pagrindinė Meta ir TikTok duomenų apsaugos reguliavimo institucija pagal BDAR Europoje, „TechCrunch“ pranešė paprašiusi susitikimo su „Meta“ po praėjusios savaitės žiniasklaidos pranešimų apie „JavaScript“ problemą. Taip pat teigiama, kad šiuo klausimu bendraus su „TikTok“.

Krause perspėja, kad viešas „iOS“ naršyklės „JavaScript“ stebėjimo kodo įvedimo tikrinimas greičiausiai paskatins blogus veikėjus atnaujinti savo programinę įrangą, kad toks kodas būtų neaptinkamas išoriniams tyrėjams, paleidžiant „JavaScript“ kodąnurodyto kadro ir turinio pasaulio kontekste“ (dar žinomas kaip WKKontentWorld), kurį „Apple“ teikia nuo iOS 14.3 versijos; įvedant šią nuostatą kaip apsaugos nuo pirštų atspaudų priemonę, todėl svetainių operatoriai negali kištis į naršyklės įskiepių JavaScript kodą (tačiau ši technologija akivaizdžiai yra dviašmenis kardas stebint trikdymą) – teigdami, kad tai „svarbesnė nei kada nors rasti sprendimą, kaip nutraukti tinkintų naršyklių programoje naudojimą trečiųjų šalių turiniui rodyti“.

Nepaisant kai kurių susijusių veiksmų, kurie nustatomi mobiliosiose programose, kuriose veikia iOS, „Apple“ platforma paprastai reklamuojama kaip saugesnė privatumui nei „Google“ pritaikyta mobiliosios OS alternatyva „Android“ – ir verta paminėti, kad programos, kurios atitinka „Apple“ rekomendaciją naudoti „Safari“ (arba SFSafariViewController). Krause nustatė, kad išorinių svetainių peržiūra yra „saugi“, įskaitant „Gmail“, „Twitter“, „WhatsApp“ ir daugelį kitų, nes, jo teigimu, Cupertino rekomenduojamas metodas reiškia, kad programoms nėra galimybės į svetaines įvesti kodo, įskaitant anksčiau minėta izoliuota „JavaScript“ sistema (kuri kitu atveju galėtų būti naudojama stebėjimo kodui užmaskuoti).

Leave a Reply

Your email address will not be published.