fbpx

研究人員:TikTok 內建瀏覽器設有鍵盤側錄器

研究人員:TikTok 內建瀏覽器設有鍵盤側錄器
                                       

根據安全研究員 Felix Krause 一份報告,iOS 版 TikTok 內建瀏覽器(in-app broser)埋有特定 JavaScript 程式碼,允許 TikTok 監控用戶瀏覽網頁的任何鍵盤輸入與點擊操作。TikTok 坦承該程式碼的存在,但否認用於非正當目的。


圖片來源/Solen Feyissa

「從技術角度來看,相當於在第三方網站上安裝鍵盤側錄器。」Felix Krause 表示,TikTok 可藉此監控用戶於網站鍵入的任何字元,可能包括密碼、信用卡等敏感資訊;同時亦可追蹤網站上點擊的圖片、網址連結或任意按鍵。

雖然報告中未含 TikTok 蒐集用戶敏感數據的證據,但卻是研究測試的七款 iOS 版內建瀏覽器中,唯一有能力監測鍵入指令的 app,其餘六款 app 為 Facebook、Messenger、Instagram、Snapchat、Amazon、Robinhood。

TikTok 發言人透過《Forbes》坦承該 JavaScript 程式碼的存在,並稱其僅限於故障排除、性能監控等正當用途,目的是為確保最佳的使用者體驗。「與其他平台相同,我們使用內建瀏覽器提供最佳的使用者體驗,但相關的 JavaScript 程式碼僅用於體驗上除錯、故障排除、性能監測,譬如檢查頁面載入速度或當機與否。」

另一方面,Krause 上週點名 iOS 版 Facebook 與 Instagram,二者內建瀏覽器也能追蹤用戶網頁活動,包括點擊按鈕、連結、圖片等。Meta 對此回應,加入該程式碼初衷,是出自對用戶的 ATT 選擇的尊重。ATT 指的是蘋果去年推出的 App 透明化追蹤(App Tracking Transparency)。

Krause 建議,若要避免被 app 開發商監控網站活動,盡量選擇使用外部瀏覽器,譬如 iPad、iPhone 的 Safari。假使 app 內建瀏覽器不提供轉跳按鈕,譬如 TikTok,可複製該網頁的 URL 網址;如果連網址都沒有,可嘗試複製網頁上的連結網址,再透過外部瀏覽器繼續瀏覽網頁。

iOS 軟體

叫我小高就好了。聯絡方式:8bitgaoooo@gmail.com

More in iOS 軟體

如何把 iPhone 陰天的照片變晴天 (相片參數參考)

Candice Chao2022-10-03

LINE 為 iOS16 螢幕鎖定畫面小工具帶來更新

Candice Chao2022-10-03

iPhone 滑動手勢小技巧: 還能把音樂錄進影片裡

Candice Chao2022-09-30

世界心臟日-如何用 Apple Watch 協助認識自己的心臟健康!

Candice Chao2022-09-29

Apple 釋出動態島設計指引 禁止變成廣告島!

Candice Chao2022-09-29

Google Chrome iOS 更新 搜尋工具加入 iOS16 螢幕鎖定 Widget

Candice Chao2022-09-28