Descargitas

来自中国的最新突发新闻。

应用内的 TikTok 浏览器有一个图标来跟踪用户的输入和活动

应用内的 TikTok 浏览器有一个图标来跟踪用户的输入和活动

Tik Tok 全天候工作。 似乎每天我们都能找到更多关于一些最受欢迎的社交媒体应用程序收集用户数据的方式的例子。 现在看来,TikTok 本身已经对声称他们使用应用程序浏览器内的代码使用键盘博客的说法非常严厉。

安全研究员费利克斯克劳斯周四写道 博文 有许多使用 JavaScript 修改页面的应用程序,但特别是一个非常流行的应用程序似乎是最令人担忧的。 克劳斯写道,TikTok 内部的代码能够监控所有键盘输入和窃听,也就是所谓的键盘记录。

TikTok 不允许用户选择在其设备的默认浏览器上打开链接。 研究人员表示,在 iOS 设备上,TikTok 能够编辑页面并使用 JavaScript 代码获取元数据,这本身并不太令人担忧,因为它对确定用户活动没有太大作用。 但是,使用文件 一个工具 他开发了它,Krause 能够发现额外的 JavaScript 代码,这些代码能够记录每个文本输入和点击。 因此,当您单击社交应用程序中的链接时,键盘记录器代码能够记录密码甚至信用卡信息。 只要您在应用程序的浏览器中工作,它就可以跟踪您单击的链接或您可能发送给朋友的消息。

克劳斯展示他的作业,准确地传达它是什么 密码 发现这与键盘符号有关。 任何“按下”或“keydown”功能都会跟踪按键。 “卸载”事件指示您何时从一个页面移动到另一个页面,这意味着应用程序知道您何时移动。

TikTok告诉记者,虽然代码是在应用程序中预加载的,但除了调试和故障排除外,他们“不使用”。 TikTok 发言人在发给 Gizmodo 的一份声明中说:“该报告关于 TikTok 的结论是不正确且具有误导性的。研究人员明确表示 JavaScript 代码并不意味着我们的应用程序在做任何恶意行为,并承认他们无法知道是什么我们的应用内浏览器正在收集的数据类型。”与报告的说法相反,我们不会通过此代码收集击键或文本条目,这些代码仅用于调试、故障排除和性能监控。”

卡内基梅隆大学数字媒体和营销学教授 Ari Lightman 在电话采访中告诉 Gizmodo,他并不完全认同 TikTok 正在出售的关于其 JavaScript 代码的说法。 虽然这段代码存在的原因肯定有安全和用户体验组件,但社交媒体公司赚了很多钱,如果不是广告收入的绝大部分,用户数据就占了很大一部分。

“其中一个共同点是他们不希望你离开领奖台,”莱特曼说。 “用户经常找不到回去的路,而且 [TikTok] 当你想通过平台获利时,它无法收集数据……这就是他们通过信息获利的方式——通过收集更多用户的需求、需求和个人资料。”

该公司表示,JavaScript 代码是软件开发工具包、AKA 和 SDK 的一部分,他们不会远程使用此代码。 据该公司称,SDK 是由第三方创建的,其中包括键盘记录代码,该代码在公司目前的所有项目中并不活跃。 用户跟踪 能力。

他们甚至说,敢于将用户指向他们应用程序之外的浏览器会是一种糟糕的用户体验,这当然是一个非常屈尊的论点,任何拥有自己硬件的人都可以选择下载 任何浏览器 他们认为这对他们最有效。

尽管莱特曼在这里也对 TikTok 的逻辑持怀疑态度。 像字节跳动旗下的 TikTok 这样的公司“非常擅长开发机器学习模型。这些东西 [like the company’s SDK] 它经过了严格的测试、分析和审查”,这使得 TikTok 将不使用它的代码留在那里的想法“难以接受”。

Krause 表示,他的研究无法判断 TikTok 或任何其他公司是否在积极使用此 JavaScript 代码来跟踪用户,但它首先存在的事实给那些经常表明用户数据不可信的公司带来了额外的负担. 研究人员此前 书面 关于 Instagram 和 Facebook 等应用程序中的 JavaScript 代码,当使用带有 JavaScript 代码的应用程序内 Web 浏览器时,可用于跟踪几乎所有用户活动。 他说,即使点击了广告,代码也可以监控所有交互并识别文本和点击。 在这次最新的更新中,研究人员还发现 iOS 上的 Instagram 订阅了应用程序中的每个按钮按下和链接。 它甚至可以知道您何时在第三方网站上指定了文本字段。

在上周的推文声明中,Meta 发言人 Andy Stone 写道,研究人员的说法“歪曲”了 Meta 浏览器在应用程序中的工作方式。

好像这一切还不够令人担忧,Krause 写道,这些应用程序能够使用已经构建的 iOS 工具隐藏 JavaScript,这些工具是 内容世界 这样网站就不会干扰 JavaScript 代码。 如果这些公司中的任何一个想要对网站或搜索工具隐藏他们的活动,他们可以轻松地做到这一点。

“仍然使用自定义应用内浏览器的科技公司将很快更新以使用新的隔离 JavaScript 平台 WKContentWorld,因此我们无法检测到他们的代码,”克劳斯在一篇博文中写道。

苹果没有立即回应 Gizmodo 关于是否会更改其任何 iOS 功能以限制应用程序包含键盘注册脚本或阻止应用程序隐藏它们运行此类代码的事实的评论请求。

在有报道称 TikTok 员工知道美国数据是由 中国政府官员. Gizmodo 最近根据内部文件发布的一份报告显示,TikTok 正在加班 低估 他们作为向巨头提供用户数据的公司的新身份 数据采集 毛这里是北京。 国会山的立法者可能即将通过一项 大数据隐私法,但有些人怀疑它会在最后期限到来之前通过。

“我们将在未来看到隐私立法和更多审计立法来检查这一点,”莱特曼说。 “在经过验证的平台内,如果他们出于经济原因这样做,他们必须规定,如果他们是为了用户体验而这样做,那也没关系。理性模糊是人们说‘等一下……’的原因。 ‘“你必须对你的计划持开放态度。”