這個研究結果對 TikTok(抖音)還蠻傷的,當可以將程式碼(JavaScript)做嵌入外部網站,那影響範圍就大囉~~
TikTok 抖音內建瀏覽器 可監控用戶輸入的內容
這篇新聞主要的重點在於:
- TikTok應用程式內建瀏覽器將程式語言JavaScript嵌入外部網站
- 這些 JavaScript 會允許應用程式監控使用者輸入的所有內容(包括密碼和信用卡號碼 等)
- 簡單說,就是使用 TikTok 內建的瀏覽器,輸入任何資料都會被打回去
從另外一個角度來看,解法:完全不要使用 TikTok 的瀏覽器來做事,記得把網址複製到自己的 Safari 或 Chrome 等瀏覽器去觀看即可
對於一般大眾搞不懂的,當然最簡單的就是把 TikTok 移除即可
下述整理自此篇:研究發現:TikTok內建瀏覽器 監控用戶輸入信用卡號
安全研究人員發現,短影音社群平台TikTok應用程式內建瀏覽器將程式語言JavaScript嵌入外部網站,以允許應用程式監控使用者輸入的所有內容,包括密碼和信用卡號碼。
國外科技網站 Appleinsider 報導:
- 2020年就有人發現 TikTok 會讀取用戶的剪貼簿內容,如今TikTok又被發現再次偷窺使用者資料
- 每當使用者在 TikTok 中開啟連結時,TikTok 就可以監控用戶在該外部網站所做的任何事情,包括輸入的任何內容,還有觸擊的按鍵和連結
這個作法是否是意外 還是 誤會?
- TikTok vs 富比世 的質問與回答說明:
- 這個作法並不是程式人員的意外錯誤行為,「富比世」:「這是公司主動做出的選擇。這不是一件簡單的工程任務,不是編碼出差錯或隨機發生的。」
- TikTok 一位發言人告訴「富比世」:這項編碼並不是惡意編碼,而是用來「除錯、排除障礙和監控效能的」
- Tiktok 嚴正駁斥應用程式內建瀏覽器監控用戶的想法。公司證實編碼中存在這些功能,但表示TikTok沒有使用這些功能。
- TikTok 聲稱 JavaScript 是第三方軟體開發工具套件的一部分,但沒有透露是由誰製作。
- 克勞瑟無法確定TikTok是否一直從用戶端收集資料,他只是告訴外界TikTok可以這麼做。
- 為了避免被監控,克勞瑟建議使用Safari瀏覽器,開啟TikTok和幾乎所有其他具有應用程式內建瀏覽器的服務所分享的連結