هشدار به کاربران: مرورگر TikTok میتواند ضربههای کلید کاربران را ردیابی کند!
اخبار داغ فناوری اطلاعات و امنیت شبکه
در مرورگر وب مورد استفاده در برنامه TikTok، کد تکمیلی موجود در نرمافزار به شرکت اجازه میدهد هر کاراکتری را که توسط کاربران تایپ میشود، ردیابی کند. این شرکت ادعا کرد که این قابلیت صرفاً برای عیبیابی است.
بر اساس تحقیقات جدیدی که با توجه به نگرانیهای قانونگذاران آمریکایی در مورد شیوههای داده این برنامه ویدیویی متعلق به چین، مرورگر وب مورد استفاده در برنامه TikTok میتواند هر ضربه ورودی به کلید توسط کاربران خود را ردیابی کند.
تحقیقات Felix Krause، محقق حریم خصوصی و مهندس سابق گوگل، نشان نداد که TikTok چگونه از این قابلیت استفاده میکند، که در مرورگر درون برنامهای تعبیه شده است که وقتی شخصی روی یک لینک خارجی کلیک میکند، ظاهر میشود. اما آقای کراوس گفت این توسعه نگرانکننده است زیرا نشان میدهد که TikTok عملکردی برای ردیابی عادات آنلاین کاربران در صورت تمایل ایجاد کرده است.
جمعآوری اطلاعات در مورد آنچه افراد در هنگام بازدید از وب سایتهای خارج از تلفن خود تایپ میکنند، که میتواند شماره کارت اعتباری و رمز عبور را نشان دهد، اغلب یکی از ویژگیهای بدافزار و سایر ابزارهای هک است. به گفته محققان، در حالی که شرکتهای فناوری بزرگ ممکن است هنگام آزمایش نرمافزار جدید از چنین ردیابهایی استفاده کنند، اما معمول نیست که یک برنامه تجاری بزرگ با این ویژگی منتشر کنند، خواه فعال باشد یا نباشد.
جین مانچون وونگ، مهندس نرمافزار مستقل و محقق امنیتی، گفت: «بر اساس یافتههای کراوس، نحوه نظارت مرورگر درونبرنامهای سفارشی TikTok روی ورودیهای کلید مشکلساز است، زیرا کاربر ممکن است دادههای حساس خود مانند اعتبارنامه ورود به سیستم را در وبسایتهای خارجی و برنامههایی با ویژگیهای جدید وارد کند.
او گفت که مرورگر درونبرنامهای TikTok میتواند «اطلاعات را از sessionهای وبگردی خارجی کاربر استخراج کند، که برخی از کاربران آن را بیش از حد مداخلهجویانه میدانند».
در بیانیهای، TikTok که متعلق به شرکت اینترنتی چینی ByteDance است، گفت که گزارش آقای Krause «نادرست و گمراهکننده» است و از این ویژگی برای «اشکالزدایی، عیبیابی و نظارت بر عملکرد» استفاده شده است.
شرکت TikTok گفت: «برخلاف ادعاهای گزارش، ما ورودیهای کلید یا متن را از طریق این کد جمعآوری نمیکنیم.»
آقای کراوس، گفت که نمیتواند مطمئن شود که آیا ورودیهای کلید به طور فعال ردیابی میشوند یا خیر، و آیا این دادهها به TikTok ارسال میشوند یا خیر.
این تحقیق میتواند سؤالاتی را برای TikTok در ایالات متحده ایجاد کند، جایی که مقامات دولتی بررسی کردهاند که آیا این برنامه محبوب میتواند امنیت ملی ایالات متحده را با اشتراکگذاری اطلاعات آمریکاییها با چین به خطر بیندازد یا خیر. اگرچه بحث در واشنگتن در مورد این اپلیکیشن در دولت بایدن کاهش یافته بود، اما نگرانیهای جدیدی در ماههای اخیر پس از افشاگریهای BuzzFeed News و دیگر رسانههای خبری در مورد شیوههای دادهای TikTok و روابط با شرکت مادر چینیاش به وجود آمده است.
کراوس گفت: «گاهی اوقات برنامهها از مرورگرهای درون برنامهای استفاده میکنند تا از بازدید افراد از سایتهای مخرب جلوگیری کنند یا با پر کردن خودکار متن، مرور آنلاین را آسانتر کنند. اما در حالی که فیسبوک و اینستاگرام میتوانند از مرورگرهای درونبرنامهای برای ردیابی دادههایی مانند سایتهایی که شخص بازدید کرده، مواردی که بیشتر مشاهده کردهاند و دکمههایی را که در یک وبسایت فشار دادهاند استفاده کنند، TikTok با استفاده از کدهایی که میتواند هر کاراکتر وارد شده توسط کاربران را ردیابی کند، پا را فراتر میگذارد.»
سخنگوی متا، شرکت مادر فیس بوک و اینستاگرام، از اظهار نظر در این رابطه خودداری کرد.
آقای کراوس خاطر نشان کرد که او تحقیق روی TikTok را فقط در سیستم عامل iOS اپل انجام داده است و خاطرنشان کرد که ردیابی وارد کردن کلید فقط در مرورگر درون برنامه انجام میشود.
مانند بسیاری از برنامهها، TikTok فرصتهای کمی را برای افراد فراهم میکند تا از سرویس آن خارج شوند. زمانی که کاربران بر روی تبلیغات یا پیوندهای تعبیه شده در نمایههای دیگر کاربران کلیک میکنند، به جای تغییر مسیر به مرورگرهای وب تلفن همراه مانند Safari یا Chrome، یک مرورگر درون برنامهای ظاهر میشود. اغلب اوقات افراد اطلاعات کلیدی مانند جزئیات کارت اعتباری یا رمز عبور را در این لینکها وارد میکنند.
در مصاحبهای با سی ان ان در ماه جولای، مایکل بکرمن، یکی از مدیران خط مشی TikTok، این موضوع را رد کرد که این شرکت کلیدهای کاربران را ثبت میکند، اما تصدیق کرد که الگوهای آنها، مانند فرکانس تایپ، برای محافظت از تقلب مجدد را زیر نظر دارد.
آقای کراوس گفت که میترسید این ابزارها «معماریهای بسیار مشابهی» داشته باشند و بتوانند برای ردیابی محتوای ضربهای کلید استفاده شوند.
او تأکید کرد که: «مشکل این است که آنها زیرساختهایی را برای انجام این کارها ایجاد کردهاند.»
برچسب ها: keystroke, In-App Browser, Policy, مرورگر وب, Web Browser, تیک تاک, Bytedance, TikTok, Safari, iOS, China, Password, Instagram, malware, Chrome, Cyber Security, حملات سایبری, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news