TikTokのアプリ内ブラウザ、ユーザーが入力するすべての項目を監視

 
アプリ内ブラウザが注入するJavaScriptコマンドを可視化できるツールが話題になっていますが、TikTokのブラウザはユーザーが入力する一字一句を監視していることが明らかになりました。

新Webツールが公開

開発者のフェリックス・クラウス氏が“https://InAppBrowser.com”という、モバイルアプリがアプリ内ブラウザでどのようにユーザーデータのトラッキングを行っているかを見て取ることができるツールを発表しました。
 
同氏が「InAppBrowser」を使用してTikTokアプリの動作を調べたところ、同アプリ内のブラウザはすべてのキーボード入力とタップを監視していることが判明しました。

ユーザーの個人情報の入力も監視

TikTokのiOSアプリでリンクを開くと、そのリンクはアプリ内ブラウザで開かれます。Webサイトを操作している間、TikTokはすべてのキーボード入力（パスワード、クレジットカード情報などを含む）や、どのボタンやリンクをクリックしたかなど、画面上のすべてのタップを監視しているとのことです。
 
「技術的な観点から言えば、これは第三者のWebサイトにキーロガーをインストールしているのと同じです」と、クラウス氏はTikTokが注入するJavaScriptコードについて述べています。しかしながら同氏は同時に、「アプリが外部WebサイトにJavaScriptを注入しているからといって、そのアプリが悪意のあることを行っているとは限らない」とも付け加えています。

TikTokは最適なユーザー体験を確保するためと主張

米メディアForbesと共有した声明の中で、TikTokの広報担当者はJavaScriptコードは「デバック、トラブルシューティング、パフォーマンスモニタリングのみに使用され、“最適なユーザー体験”を確保するためのもの」と述べています。
 
クラウス氏は、アプリ内ブラウザでJavaScriptコードが悪意を持って使用される可能性から身を守りたい場合、iPhoneやiPadのSafariなど、プラットフォームのデフォルトブラウザで特定のリンクを表示するように設定を切り替えるべき、とアドバイスしています。
 
 
Source:Felix Krause via MacRumors, 9to5Mac, Forbes
(lexi)