Marque tock va el reloj. Parece que cada día encontramos más ejemplos de las formas algunas de las aplicaciones de redes sociales más populares recopilan datos sobre los usuarios. Ahora TikTok parece estar bastante nervioso por las acusaciones. ellos son Usuarios de keylogging usando el código que se encuentra dentro del navegador en la aplicación.
El investigador de seguridad Felix Krause escribió en un jueves entrada en el blog que hay varias aplicaciones que modifican páginas usando JavaScript, pero una aplicación muy popular en particular parece ser la más preocupante. Krause escribió que el código que se encuentra en las profundidades de TikTok tiene la capacidad de monitorear todas las entradas del teclado y las pulsaciones, también conocido como registro de teclas.
TikTok no da a los usuarios la opción de abrir enlaces en su dispositivo’navegador predeterminado. El investigador dijo que en los dispositivos iOS, TikTok tiene la capacidad de modificar páginas y usar código JavaScript para obtener metadatos, lo que en sí mismo no es muy preocupante ya que no hace mucho para cuantificar la actividad del usuario. Sin embargo, usando un herramienta que desarrolló, Krause pudo detectar código JavaScript adicional que tiene la capacidad de registrar cada entrada de texto y cada clic. Entonces, cuando hace clic en un enlace dentro de la aplicación social, el código de registro de teclas tiene la capacidad de registrar contraseñas o incluso información de tarjetas de crédito. Puede rastrear los enlaces en los que hace clic o los mensajes que puede enviar a sus amigos, siempre que esté operando dentro del navegador de la aplicación.
Krause muestra su tarea, transmitiendo exactamente lo que código encontró que se relaciona con el registro de teclas. Cualquier función de «presionar tecla» o «presionar tecla» realiza un seguimiento de las pulsaciones de teclas. Los eventos de «descarga» se refieren a cuando navegas de una página a otra, lo que significa que la aplicación sabe cuándo has avanzado.
TikTok les ha dicho a los periodistas que, aunque el código se carga por adelantado en la aplicación, simplemente «no lo usan», excepto para depurar y solucionar problemas. En un comunicado enviado a Gizmodo, un portavoz de TikTok dijo: “Las conclusiones del informe sobre TikTok son incorrectas y engañosas. El investigador dice específicamente que el código JavaScript no significa que nuestra aplicación esté haciendo algo malicioso, y admite que no tienen forma de saber qué tipo de datos recopila nuestro navegador integrado en la aplicación. Contrariamente a lo que afirma el informe, no recopilamos entradas de texto o pulsaciones de teclas a través de este código, que se usa únicamente para depurar, solucionar problemas y monitorear el rendimiento”.
G/O Media puede recibir una comisión
Ari Lightman, profesor de medios digitales y marketing en la Universidad Carnegie Mellon, le dijo a Gizmodo en una entrevista telefónica que no cree completamente en las afirmaciones que TikTok está vendiendo sobre su código JavaScript. Si bien ciertamente hay componentes de seguridad y experiencia del usuario que explican por qué existe este código, las empresas de redes sociales obtienen una buena cantidad, si no la gran mayoría de sus ganancias de la publicidad, y los datos del usuario son una gran parte de eso.
“Uno de los factores comunes es que no quieren que salgas de la plataforma”, dijo Lightman. “Los usuarios a menudo no encuentran el camino de regreso y [TikTok] no puede recopilar datos cuando quiere monetizar la plataforma… así es como monetizan la información, al recopilar más necesidades, deseos y perfiles de personalidad de los usuarios».
La compañía ha dicho que el código JavaScript es parte de un kit de desarrollo de software, también conocido como SDK, y que no usan ese código de forma remota. El SDK fue creado por un tercero que incluye el código de registro de teclas, según la empresa, que no ha estado activo en el repertorio existente de la empresa de seguimiento de usuarios capacidades.
Incluso han dicho que atreverse a dirigir a los usuarios a navegadores fuera de su aplicación sería simplemente una mala experiencia para los usuarios, lo cual es, por supuesto, un argumento muy condescendiente que olvida que cualquiera que tenga su propio dispositivo puede elegir descargar cualquier navegador creen que funciona mejor para ellos.
Aunque Lightman también se mostró escéptico sobre el razonamiento de TikTok aquí. Empresas como TikTok, propiedad de ByteDance, son “muy expertas en el desarrollo de modelos de aprendizaje automático. Estas cosas [like the company’s SDK] ser probado, analizado y examinado muy a fondo”, lo que hace que la idea de que TikTok simplemente deje este código allí sin usarlo “es difícil de tragar”.
Krause dijo que su investigación no puede decir si TikTok o cualquier otra compañía está usando activamente ese código JavaScript para rastrear a los usuarios, pero el hecho de que exista en primer lugar impone una responsabilidad adicional a las compañías que han demostrado rutinariamente que no se puede confiar en ellos. datos del usuario. El investigador ya había escrito sobre el código JavaScript dentro de aplicaciones como Instagram y Facebook que podría usarse para rastrear prácticamente toda la actividad del usuario cuando usa navegadores web en la aplicación que usan código JavaScript. Dijo que el código puede monitorear todas las interacciones, selecciones de texto y clics, incluso al hacer clic en los anuncios. En esta última actualización, el investigador también descubrió que Instagram en iOS se suscribe a cada pulsación de botón y enlace que aparece dentro de la aplicación. Incluso sabe cuándo selecciona un campo de texto en un sitio web de terceros.
en un declaración de tweet la semana pasadael portavoz de Meta, Andy Stone, escribió que las afirmaciones del investigador «tergiversan» cómo funcionan los navegadores integrados en la aplicación de Meta.
Y como si todo esto no fuera lo suficientemente preocupante, Krause escribió que estas aplicaciones tienen la capacidad de ocultar su JavaScript utilizando herramientas de iOS ya establecidas, a saber, un WKContentWorld código para que los sitios web no puedan interferir con el código JavaScript. Si alguna de estas empresas quisiera ocultar su actividad a los sitios web o al investigadors herramientas, podrían, y bastante fácilmente en eso.
“Las empresas de tecnología que aún usan navegadores personalizados en la aplicación se actualizarán muy rápidamente para usar el nuevo sistema de JavaScript aislado WKContentWorld, por lo que su código se vuelve indetectable para nosotros”, escribió Krause en su publicación de blog.
Apple no respondió de inmediato a la solicitud de Gizmodo de comentar si cambiaría alguna de sus funciones de iOS para restringir que las aplicaciones incluyan secuencias de comandos de registro de teclas o evitar que las aplicaciones oculten el hecho de que estaban ejecutando dicho código.
TikTok ya ha recibido una gran cantidad de críticas de los defensores de la privacidad en Internet y de los legisladores de ambos lados del pasillo (aunque, como es de esperar, es por diferentes razones) después de los informes que alegaban que el personal de TikTok sabía que los datos de EE. UU. estaban siendo recopilados por funcionarios del gobierno chino. Un informe reciente de Gizmodo basado en documentos internos mostró que TikTok ha estado trabajando horas extras para minimizar su nueva identidad como la empresa que ofrece datos de usuarios al gigante recopilación de datos fauces que es Beijing. Legisladores en Capitol hmal podría estar a punto de pasar un ley de privacidad de datos masivospero algunos son escépticos de que pase antes de que se acerquen los plazos.
“En el futuro veremos legislación sobre privacidad y más auditoríaslegislación vigente para verificar esto”, dijo Lightman. “Dentro de una plataforma verificada, si lo hacen por razones económicas, tienen que estipular que, si lo hacen por la experiencia del usuario, también está bien. Es ser opaco con la racionalidad lo que hace que la gente diga ‘espera un minuto…’ Tienes que ser abierto con tus planes”.