O pesquisador de segurança e engenheiro de software Felix Krause revelou detalhes surpreendentes sobre aplicativos populares e explicou como esses aplicativos rastreiam e coletam dados do usuário por meio de navegadores no aplicativo.
Em sua pesquisa, Krause examinou os códigos injetados em um site para monitorar a atividade do usuário, incluindo os links clicados ou anúncios verificados quando o site é aberto por meio de um aplicativo.
Sobre Felix Krause
O Krause, com sede em Viena, é o fundador da Fastlane – uma empresa de testes de aplicativos adquirida pelo Google em 2017. O pesquisador é conhecido por seu trabalho de pesquisa destacando falhas de privacidade em dispositivos smartphones.
Por exemplo, em outubro de 2017, Krause revelou que qualquer aplicativo não autorizado no iPhone poderia usar a câmera do dispositivo para espionar o usuário secretamente, abusando da permissão por padrão e usando as câmeras frontal e traseira para fins maliciosos.
No mesmo ano, o pesquisador revelou como os cibercriminosos podem usar as caixas de diálogo pop-up do iPhone para realizar ataques de phishing para que usuários desavisados possam ser induzidos a fornecer suas senhas de ID Apple.
Análise de Pesquisa
Para validar suas descobertas, Krause avaliou vários aplicativos diferentes, incluindo o TikTok. Quando ele clicou em um link no aplicativo TikTok, ele foi aberto pelo navegador do aplicativo da plataforma em vez do padrão. Isso indicou que o navegador no aplicativo do TikTok pode monitorar a atividade do usuário nos sites externos que o usuário acessa via TikTok.
O que acontece é que o aplicativo insere um código no site para modificar sua funcionalidade, permitindo monitorar atividades cruciais do usuário, como pressionamentos de tecla ou captura de persona; dados como senhas ou números de cartão de crédito.
Falando com a Forbes, Krause afirmou que isso parece ser uma “escolha ativa” da empresa. “Esta é uma tarefa de engenharia não trivial. Isso não acontece por engano ou aleatoriamente”, acrescentou Krause.
No geral, Krause examinou sete aplicativos do iPhone usando o aplicativo navegadores, incluindo Facebook, Instagram, Facebook Messenger, Snapchat, Robinhood e Amazon, além do TikTok. Ele identificou que o TikTok era o único aplicativo para monitorar as teclas digitadas, enquanto o Instagram poderia monitorar toques de telefone e imagens em que o usuário clica.
No entanto, o TikTok afirma que esse recurso está desativado e o navegador do aplicativo não pode registrar pressionamentos de tecla. Mas a presença deste sistema é uma bandeira vermelha, pois pode representar um grande risco para os usuários e afetar sua confiança no comércio eletrônico.
Resposta do TikTok
O TikTok ainda não respondeu a essas descobertas. A representante da empresa, Maureen Shanahan, admitiu que esses recursos estão presentes no código do aplicativo, mas o TikTok nunca os usou para monitorar as atividades dos usuários.
Shanahan também afirmou que eles usam o navegador no aplicativo para melhorar a experiência do usuário, e o código JavaScript é usado para “depurar a solução de problemas e monitorar o desempenho dessa experiência”.
O representante afirma que o navegador do aplicativo está lá para verificar a velocidade de carregamento de uma página e se ela trava ou não.
Além disso, a empresa afirmou que o código faz parte de um SDK de terceiros (kit de desenvolvimento de software) usado para manter/criar aplicativos. No entanto, o TikTok observou que eles não usam muitos dos recursos deste SDK.
Esta não é a primeira vez que o TikTok faz manchetes sobre questões de privacidade. Em agosto de 2020
O Wall Street Journal acusou a gigante chinesa de mídia social de coletar endereços MAC e identificadores exclusivos de seus usuários em dispositivos Android e enviá-los para Byte Dance, sua empresa controladora.
