fbpx

研究人員:TikTok 內建瀏覽器設有鍵盤側錄器

研究人員:TikTok 內建瀏覽器設有鍵盤側錄器
                                       

根據安全研究員 Felix Krause 一份報告,iOS 版 TikTok 內建瀏覽器(in-app broser)埋有特定 JavaScript 程式碼,允許 TikTok 監控用戶瀏覽網頁的任何鍵盤輸入與點擊操作。TikTok 坦承該程式碼的存在,但否認用於非正當目的。


圖片來源/Solen Feyissa

「從技術角度來看,相當於在第三方網站上安裝鍵盤側錄器。」Felix Krause 表示,TikTok 可藉此監控用戶於網站鍵入的任何字元,可能包括密碼、信用卡等敏感資訊;同時亦可追蹤網站上點擊的圖片、網址連結或任意按鍵。

雖然報告中未含 TikTok 蒐集用戶敏感數據的證據,但卻是研究測試的七款 iOS 版內建瀏覽器中,唯一有能力監測鍵入指令的 app,其餘六款 app 為 Facebook、Messenger、Instagram、Snapchat、Amazon、Robinhood。

TikTok 發言人透過《Forbes》坦承該 JavaScript 程式碼的存在,並稱其僅限於故障排除、性能監控等正當用途,目的是為確保最佳的使用者體驗。「與其他平台相同,我們使用內建瀏覽器提供最佳的使用者體驗,但相關的 JavaScript 程式碼僅用於體驗上除錯、故障排除、性能監測,譬如檢查頁面載入速度或當機與否。」

另一方面,Krause 上週點名 iOS 版 Facebook 與 Instagram,二者內建瀏覽器也能追蹤用戶網頁活動,包括點擊按鈕、連結、圖片等。Meta 對此回應,加入該程式碼初衷,是出自對用戶的 ATT 選擇的尊重。ATT 指的是蘋果去年推出的 App 透明化追蹤(App Tracking Transparency)。

Krause 建議,若要避免被 app 開發商監控網站活動,盡量選擇使用外部瀏覽器,譬如 iPad、iPhone 的 Safari。假使 app 內建瀏覽器不提供轉跳按鈕,譬如 TikTok,可複製該網頁的 URL 網址;如果連網址都沒有,可嘗試複製網頁上的連結網址,再透過外部瀏覽器繼續瀏覽網頁。

iOS 軟體

叫我小高就好了。聯絡方式:8bitgaoooo@gmail.com

More in iOS 軟體

iOS 17.4 正式版更新:Podcast 加入逐字稿 還有鳳凰表情符號

Candice Chao2024-03-06

只有台灣看得到!元宵節聊天室特效登場

Candice Chao2024-02-24

【推薦】2024年10款好用的多功能免費影片剪輯軟體 (Windows / Mac)

AD2024-02-20

在 iPhone 聽 Podcast 也能有逐字稿? 連內容都能翻譯

Candice Chao2024-02-11
Apple Watch 手電筒

暗摸摸看不到?Apple Watch秒變手電筒(還有紅光選擇

Candice Chao2024-02-09
iOS17

iPhone 自製貼紙刪除教學: 一張一張與批量刪除都可以

Candice Chao2024-02-08