Descargitas

来自中国的最新突发新闻。

TikTok 和 Instagram 可以跟踪您的输入 | 信息时代

TikTok 和 Instagram 可以跟踪您的输入 | 信息时代

新的独立研究揭示了流行应用中的一系列侵入性跟踪功能,例如 抖音Instagram 和 FB 信使。

除了能够跟踪用户名、密码和信用卡详细信息等敏感信息之外,研究还发现了许多人的力量 热门应用 访问用户的滚动行为、屏幕点击,甚至键盘输入。

这些结果是在 报告 它由安全专家 Felix Krause 发布,他是应用程序自动化平台 Fastlane 的创始人,自 8 月初发布以来,他的研究引起了媒体的极大兴趣。

Krause 最初报告称,iOS Instagram 和 Facebook 应用程序能够“跟踪与外部网站的每一次交互,从密码和地址等所有表单输入到每一次点击。”

一周后,跟进 博文 它通过在流行应用程序中展示不同的数据跟踪功能并将 TikTok 暴露在特别令人不安的做法上来扩展其发现。

它是如何工作的?

如果您使用 TikTok 或 Instagram 等应用程序,您可能已经注意到单击这些应用程序中的链接不会重定向到 Safari、Chrome 或其他第三方。 浏览器相反,它将所需的网页直接加载到应用程序中。

例如,在 TikTok 中单击的链接(例如创建者资料中包含的广告或网站)会直接使用 TikTok 应用程序而不是您选择的手机的默认浏览器来显示网页。

这是应用内浏览器的功能,这是应用内提供的自定义功能,可直接通过其平台访问网站。

然而,定制设计支持定制功能,克劳斯指出,其中之一是经常使用且存在很大问题的能力,即将各种 JavaScript 代码插入通过这些应用内浏览器访问的第三方网站。

在 TikTok 的情况下,这可以使应用程序主要表现为文件 键盘记录器监视用户所做的所有击键。

键盘记录器通常是同义词 网络罪犯 由于用户进行在线交易和登录帐户的可能性很高,因此在浏览网页的情况下尤其受到关注。

“TikTok iOS 会参与 TikTok 应用程序中提供的第三方网站上发生的每一次击键(文本输入)。这可能包括密码、信用卡信息和其他敏感的用户数据,”克劳斯说。

他补充说,“我们无法知道 TikTok 是用来注册什么的,但从技术角度来看,这相当于在第三方网站上安装了键盘记录器。”

克劳斯强调,他的帖子并没有声称 TikTok 正在积极使用其用户的浏览数据进行分析或其他目的,但他仍然声称 证据 – 证明 “基于能够跟踪所有击键的系统”在外部网站上。

TikTok是最严重的罪犯吗?

谈到其声称的击键跟踪功能,克劳斯表示,“根据 TikTok 的说法,它暂时被禁用。”

然而,TikTok 的说法并不总是与其行动一致。

最近出现在议会委员会面前时, 抖音 他显然没有提及中国访问用户数据的法律能力,相反,他提供了证据,向议会保证他平台上的澳大利亚用户数据是安全的。

仅仅几个月后,由于举报人事件,围绕 TikTok 的数据共享做法出现了更多真相。

此外,TikTok 似乎特别坚持将用户引导至应用内浏览器。

例如,Instagram 将默认使用其应用内浏览器,但它还通过右上角的三点按钮提供了一个可以使用默认浏览器的选项。

但是,TikTok 没有提供类似的在应用程序外浏览的选项,用户要么手动复制提供的网站链接并将其粘贴到默认浏览器中,要么继续在应用程序内使用 TikTok 浏览器。

取禁令

在这项研究之前,人们普遍认为应用内浏览器的存在只是为了在宿主应用中保持用户注意力。

然而,这些最新发现表明,除了保持用户的注意力范围之外,应用内浏览器可能会为应用提供商提供一组过度的跟踪功能和激励措施。

这种所谓的数据跟踪功能的伦理和必要性至少可以说是值得怀疑的,更糟糕​​的是,克劳斯认为应用内浏览器使用的有争议的 JavaScript 代码很快就会难以跟踪。

在哪里 iOS 14.3 发布后,Apple 支持在特定的“内容世界”中运行 JavaScript 代码,这基本上可以将应用程序的 Web 环境与单个网页的环境分开。

这有效地使应用程序能够隐藏在第三方网站上执行的 JavaScript 命令,如果由 TikTok 和 Instagram 等应用程序执行,研究人员将来可能更难检测到跟踪活动。

鉴于应用内浏览器的可疑性质以及隐藏其 JavaScript 活动的能力不断增强,克劳斯宣称:“我认为苹果和谷歌应该并且将开始阻止应用内浏览器。”