TikTok 抖音內建瀏覽器 可監控用戶輸入的內容 - 2023

這個研究結果對 TikTok(抖音)還蠻傷的,當可以將程式碼(JavaScript)做嵌入外部網站,那影響範圍就大囉~~

TikTok 抖音內建瀏覽器 可監控用戶輸入的內容

這篇新聞主要的重點在於:

  1. TikTok應用程式內建瀏覽器將程式語言JavaScript嵌入外部網站
  2. 這些 JavaScript 會允許應用程式監控使用者輸入的所有內容(包括密碼和信用卡號碼 等)
    • 簡單說,就是使用 TikTok 內建的瀏覽器,輸入任何資料都會被打回去

從另外一個角度來看,解法:完全不要使用 TikTok 的瀏覽器來做事,記得把網址複製到自己的 Safari 或 Chrome 等瀏覽器去觀看即可

對於一般大眾搞不懂的,當然最簡單的就是把 TikTok 移除即可

下述整理自此篇:研究發現:TikTok內建瀏覽器 監控用戶輸入信用卡號

安全研究人員發現,短影音社群平台TikTok應用程式內建瀏覽器將程式語言JavaScript嵌入外部網站,以允許應用程式監控使用者輸入的所有內容,包括密碼和信用卡號碼。

國外科技網站 Appleinsider 報導:

  • 2020年就有人發現 TikTok 會讀取用戶的剪貼簿內容,如今TikTok又被發現再次偷窺使用者資料
  • 每當使用者在 TikTok 中開啟連結時,TikTok 就可以監控用戶在該外部網站所做的任何事情,包括輸入的任何內容,還有觸擊的按鍵和連結

這個作法是否是意外 還是 誤會?

  • TikTok vs 富比世 的質問與回答說明:
    • 這個作法並不是程式人員的意外錯誤行為,「富比世」:「這是公司主動做出的選擇。這不是一件簡單的工程任務,不是編碼出差錯或隨機發生的。」
    • TikTok 一位發言人告訴「富比世」:這項編碼並不是惡意編碼,而是用來「除錯、排除障礙和監控效能的」
    • Tiktok 嚴正駁斥應用程式內建瀏覽器監控用戶的想法。公司證實編碼中存在這些功能,但表示TikTok沒有使用這些功能。
    • TikTok 聲稱 JavaScript 是第三方軟體開發工具套件的一部分,但沒有透露是由誰製作。
    • 克勞瑟無法確定TikTok是否一直從用戶端收集資料,他只是告訴外界TikTok可以這麼做。
  • 為了避免被監控,克勞瑟建議使用Safari瀏覽器,開啟TikTok和幾乎所有其他具有應用程式內建瀏覽器的服務所分享的連結

相關網頁

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料