Aplicativo do TikTok para smartphone iOS Unsplash

O TikTok pode rastrear todas as entradas de teclado dos usuários em seu navegador no aplicativo, de acordo com um ex-engenheiro do Google que se tornou pesquisador de segurança digital. Felix Krause, que alertou anteriormente que os aplicativos Instagram e Meta poderiam rastrear os dados dos usuários usando os navegadores no aplicativo dessas plataformas, informou que o TikTok injeta código em outros sites quando os usuários navegam na internet usando o navegador interno do aplicativo. 

“Quando o usuário abre qualquer link no aplicativo TikTok para iOS, ele é aberto dentro do navegador do aplicativo", explicou Krause em uma postagem no blog. "Enquanto você está interagindo com o site, o TikTok assina todas as entradas do teclado (incluindo senhas, informações de cartão de crédito, etc.) e a cada toque na tela, como em quais botões e links você clica”, acrescentou. 

O TikTok confirmou que o software injetado existe, mas negou que estivesse sendo usado ativamente. “Como outras plataformas, usamos um navegador no aplicativo para fornecer uma experiência de usuário ideal, mas o código Javascript em questão é usado apenas para depuração, solução de problemas e monitoramento de desempenho dessa experiência, como verificar a rapidez com que uma página é carregada ou se ela trava”, disse um porta-voz do TikTok à Forbes. 

O diretor administrativo da Câmara dos Deputados dos Estados Unidos emitiu recentemente um "aviso cibernético" no TikTok, rotulando-o de "alto risco". Os usuários do TikTok podem ter suas informações pessoais facilmente acessadas na China, alerta o comunicado: “Não recomendamos o download ou o uso deste aplicativo devido a essas preocupações de segurança e privacidade", disse o diretor administrativo da Câmara dos Deputados dos EUA em comunicado (mensagem original abaixo, em inglês). 

 

Quando Krause revelou anteriormente que as plataformas Meta, como Facebook e Instagram, podiam rastrear os dados dos usuários quando eles usavam navegadores no aplicativo, ele alertou que isso era feito sem o consentimento dos usuários ou a permissão de outros sites. 

O ex-engenheiro do Google aparentemente descobriu a injeção de código enquanto desenvolvia uma ferramenta para detectar comandos extras adicionados a sites por navegadores da web. Para a maioria dos navegadores e aplicativos, a ferramenta não detecta nenhuma linha de injeção de código, mas para o Facebook e o Instagram, Krause afirma que a ferramenta encontrou até 18 linhas de código adicionadas. 

O pesquisador adiciona em seu blog uma série de "FAQs" (Perguntas Frequentes) para "leitores não técnicos". Ele explica que o Facebook, Instagram e TikTok só podem ler dados do usuário quando as pessoas usam seus navegadores no aplicativo, e as pessoas podem simplesmente "certificar-se de clicar nos pontos no canto para abrir a página no Safari" ao usar os aplicativos no iPhone. 

O engenheiro também deixa claro que não tem provas de que Meta ou TikTok estão roubando ou armazenando senhas e dados de cartão de crédito, apenas que é possível que os aplicativos das empresas o façam.