TikTok pode rastrear atividade do usuário, diz pesquisador
Aplicativo injetaria códigos obtidos através da navegação interna, ou seja, quando usuário abre o navegador para uma página de terceiros dentro do TikTok
O TikTok pode rastrear todas as entradas de teclado dos usuários em seu navegador no aplicativo, de acordo com um ex-engenheiro do Google que se tornou pesquisador de segurança digital. Felix Krause, que alertou anteriormente que os aplicativos Instagram e Meta poderiam rastrear os dados dos usuários usando os navegadores no aplicativo dessas plataformas, informou que o TikTok injeta código em outros sites quando os usuários navegam na internet usando o navegador interno do aplicativo.
“Quando o usuário abre qualquer link no aplicativo TikTok para iOS, ele é aberto dentro do navegador do aplicativo", explicou Krause em uma postagem no blog. "Enquanto você está interagindo com o site, o TikTok assina todas as entradas do teclado (incluindo senhas, informações de cartão de crédito, etc.) e a cada toque na tela, como em quais botões e links você clica”, acrescentou.
O TikTok confirmou que o software injetado existe, mas negou que estivesse sendo usado ativamente. “Como outras plataformas, usamos um navegador no aplicativo para fornecer uma experiência de usuário ideal, mas o código Javascript em questão é usado apenas para depuração, solução de problemas e monitoramento de desempenho dessa experiência, como verificar a rapidez com que uma página é carregada ou se ela trava”, disse um porta-voz do TikTok à Forbes.
O diretor administrativo da Câmara dos Deputados dos Estados Unidos emitiu recentemente um "aviso cibernético" no TikTok, rotulando-o de "alto risco". Os usuários do TikTok podem ter suas informações pessoais facilmente acessadas na China, alerta o comunicado: “Não recomendamos o download ou o uso deste aplicativo devido a essas preocupações de segurança e privacidade", disse o diretor administrativo da Câmara dos Deputados dos EUA em comunicado (mensagem original abaixo, em inglês).
Quando Krause revelou anteriormente que as plataformas Meta, como Facebook e Instagram, podiam rastrear os dados dos usuários quando eles usavam navegadores no aplicativo, ele alertou que isso era feito sem o consentimento dos usuários ou a permissão de outros sites.
O ex-engenheiro do Google aparentemente descobriu a injeção de código enquanto desenvolvia uma ferramenta para detectar comandos extras adicionados a sites por navegadores da web. Para a maioria dos navegadores e aplicativos, a ferramenta não detecta nenhuma linha de injeção de código, mas para o Facebook e o Instagram, Krause afirma que a ferramenta encontrou até 18 linhas de código adicionadas.
O pesquisador adiciona em seu blog uma série de "FAQs" (Perguntas Frequentes) para "leitores não técnicos". Ele explica que o Facebook, Instagram e TikTok só podem ler dados do usuário quando as pessoas usam seus navegadores no aplicativo, e as pessoas podem simplesmente "certificar-se de clicar nos pontos no canto para abrir a página no Safari" ao usar os aplicativos no iPhone.
O engenheiro também deixa claro que não tem provas de que Meta ou TikTok estão roubando ou armazenando senhas e dados de cartão de crédito, apenas que é possível que os aplicativos das empresas o façam.