なお、悪用はしていないとのこと。
セキュリティ研究員のFelix Krause氏が、iOS版TikTokアプリに、アプリ内ブラウザで外部サイトを観覧するさい、キー入力を監視するJavaScriptが埋め込まれているという内容のレポートを公開しています。
アプリ内ブラウザって?
アプリ内ブラウザとは、アプリ中でウェブリンクをタップした時、デフォ設定のウェブブラウザアプリ(SafariやChromeなど)に飛んで開くことなく、そのままアプリの中でウェブ観覧ができるもの。ブラウザでキー入力が監視されるということは、TikTok内でリンク踏んでウェブ観覧し、ユーザーが叩いたキーが全てモニタリングされるとうこと。つまり、検索したりアカウントログインしたり、住所やクレジットカード番号入力したら、それらをすべて見られてしまう状態にあるということです。怖…。
JavaScriptは機能向上に利用しているとのこと
Krause氏は、これは外部サイトにキーロガーをインストールするのと同等としつつ、アプリにこのJSが入っている=悪用しているではない(見ることができるけど、情報を盗んでいるわけではない)と指摘。TikTok担当者は、報告されているJavaScriptは認識しているとした上で、デバッグ、問題解決、ユーザーエクスペリエンス向上のために使用しており、悪用はしていないとコメントしています。
公式が「悪いことしてないから大丈夫よ!」と言ってはいるものの、心配な人はアプリ内ではなく、デフォブラウザでウェブ観覧するよう心がけておくといいですね。アプリには「ブラウザで開く」というオプションがあるものがほとんどですが、Krause氏は「今回の解析では、TkTok以外すべてのアプリでそのオプションがありました」と補足。…ないのか。
この指摘をうけ、せめてTikTokにデフォブラウザを使いやすくする仕様が加わってくれるといいのですが。
Source: via MacRumors
