El navegador en la aplicación de TikTok podría estar registrando teclas, advierte un análisis de privacidad

“Cuidado con los navegadores integrados en la aplicación” es una buena regla general para cualquier usuario de aplicaciones móviles consciente de la privacidad, dada la posibilidad de que una aplicación aproveche su control sobre la atención del usuario para espiar lo que está viendo a través del software del navegador que también controla. Pero se están levantando las cejas sobre el comportamiento del navegador en la aplicación de TikTok después de que una investigación de privacidad independiente realizada por el desarrollador Felix Krause descubrió que la aplicación iOS de la red social inyecta un código que podría permitirle monitorear todas las entradas y toques del teclado. También conocido como registro de teclas.

“TikTok iOS se suscribe a cada pulsación de tecla (ingresos de texto) que ocurre en sitios web de terceros representados dentro de la aplicación TikTok. Esto puede incluir contraseñas, información de tarjetas de crédito y otros datos confidenciales del usuario”, advierte Krause en una publicación de blog que detalla los hallazgos. “No podemos saber para qué TikTok usa la suscripción, pero desde una perspectiva técnica, esto es el equivalente a instalar un registrador de teclas en sitios web de terceros”. [énfasis suyo]

Después de publicar un informe la semana pasada, centrado en el potencial de las aplicaciones iOS de Facebook e Instagram de Meta para rastrear a los usuarios de sus navegadores en la aplicación, Krause siguió lanzando una herramienta, llamada InAppBrowser.com, que permite a los usuarios de aplicaciones móviles obtener detalles del código. que está siendo inyectado por los navegadores en la aplicación al enumerar los comandos de JavaScript ejecutados por la aplicación a medida que representa la página. (Nota: Advierte que la herramienta no enumera necesariamente todos los comandos de JavaScript ejecutados ni puede detectar el seguimiento que una aplicación podría estar haciendo usando código nativo, por lo que, en el mejor de los casos, ofrece un vistazo de actividades potencialmente incompletas).

Krause ha utilizado la herramienta para producir un breve análisis comparativo de una serie de aplicaciones importantes que parece colocar a TikTok en la parte superior por comportamientos preocupantes con respecto a los navegadores en la aplicación, debido al alcance de las entradas que se han identificado al suscribirse. a; y el hecho de que no ofrece a los usuarios la opción de usar un navegador móvil predeterminado (es decir, en lugar de su propio navegador integrado en la aplicación) para abrir enlaces web. Esto último significa que no hay forma de evitar que se cargue el código de seguimiento de TikTok si usa su aplicación para ver enlaces; la única opción para evitar este riesgo de privacidad es eliminar su aplicación por completo y usar un navegador móvil para cargar directamente el enlace ( y si no puede copiar y pegar, tendrá que poder recordar la URL para hacerlo).

Krause tiene cuidado de señalar que el hecho de que haya descubierto que TikTok se está suscribiendo a cada pulsación de tecla que un usuario hace en sitios de terceros vistos dentro de su navegador en la aplicación no significa necesariamente que esté haciendo “algo malicioso” con el acceso, como señala que hay no hay forma de que personas externas conozcan los detalles completos sobre qué tipo de datos se recopilan o cómo o si se transfieren o utilizan. Pero, claramente, el comportamiento en sí genera preguntas y riesgos de privacidad para los usuarios de TikTok.

Nos comunicamos con TikTok sobre el código de seguimiento que está inyectando en sitios de terceros y actualizaremos este informe con cualquier respuesta.

Actualización: un portavoz de la empresa ha enviado esta declaración:

“Las conclusiones del informe sobre TikTok son incorrectas y engañosas. El investigador dice específicamente que el código de JavaScript no significa que nuestra aplicación esté haciendo algo malicioso, y admite que no tienen forma de saber qué tipo de datos recopila nuestro navegador integrado en la aplicación. Al contrario de lo que afirma el informe, no recopilamos entradas de texto o pulsaciones de teclas a través de este código, que se usa únicamente para depurar, solucionar problemas y monitorear el rendimiento”.

TikTok argumenta que las entradas de “presionar tecla” y “presionar tecla” identificadas por Krause son entradas comunes, alegando que es incorrecto hacer suposiciones sobre su uso basadas solo en el código que destaca la investigación.

Para respaldar esto, el portavoz señaló un mismo código de Github que no es de TikTok y sugirió que desencadenaría exactamente la misma respuesta citada por la investigación como evidencia de recopilación de datos incorrecta, pero que se usa para desencadenar un comando conocido como ‘StopListening’. ‘ que dijeron que evitaría específicamente que una aplicación capture lo que se escribe.

Además, afirmaron que el código JavaScript resaltado por la investigación se usa únicamente para depurar, solucionar problemas y monitorear el rendimiento del navegador en la aplicación para optimizar la experiencia del usuario, como verificar qué tan rápido se carga una página o si falla. Y dijo que el JavaScript en cuestión también es parte de un SDK que está usando, afirmando además que el hecho de que exista cierto código no significa que la compañía lo esté usando. El portavoz también enfatizó la distinción entre los permisos que permiten que las aplicaciones accedan a ciertas categorías de información en el dispositivo de un usuario (también conocido como “invocar”) en lugar de recopilar o procesar datos de acuerdo con las políticas de la tienda de aplicaciones, lo que sugiere muchos elementos asociados con las categorías de información. en cuestión puede analizarse localmente en el dispositivo sin que TikTok recopile la información en sí.

El portavoz de TikTok también nos dijo que no ofrece a los usuarios la opción de no usar su navegador en la aplicación porque requeriría dirigirlos fuera de la aplicación, lo que, según ellos, sería una experiencia torpe y menos ingeniosa.

También reiteraron una negación pública anterior de TikTok de que se involucra en el registro de pulsaciones de teclas (es decir, la captura de contenido), pero sugirieron que puede usar información de pulsaciones de teclas para detectar patrones o ritmos inusuales, como si cada letra escrita es exactamente 1 tecla por segundo, para ayudar. proteger contra inicios de sesión falsos, comentarios tipo spam u otro comportamiento que pueda amenazar la integridad de su plataforma.

El portavoz de TikTok continuó sugiriendo que el nivel de recopilación de datos en el que participa es similar al de otras aplicaciones que también recopilan información sobre lo que los usuarios buscan dentro de la aplicación para poder recomendar contenido relevante y personalizar el servicio.

Confirmaron que los usuarios que navegan por el contenido web dentro de su aplicación son rastreados para una personalización similar, como para seleccionar videos relevantes para mostrar en su feed For You. TikTok también puede recopilar datos sobre la actividad de los usuarios en otros lugares, en las aplicaciones y sitios web de los anunciantes, cuando esas empresas de terceros eligen compartir dichos datos con ellos, señalaron además.

Krause también descubrió que las aplicaciones propiedad de Meta Instagram, Facebook y FB Messenger estaban modificando sitios de terceros cargados a través de sus navegadores en la aplicación, con comandos “potencialmente peligrosos”, como él dice, y también nos hemos acercado a la tecnología. gigante para una respuesta a los hallazgos.

La privacidad y la protección de datos están reguladas en la Unión Europea, por leyes que incluyen el Reglamento general de protección de datos y la Directiva de privacidad electrónica, por lo que cualquier seguimiento que se realice de los usuarios en la región que carezca de una base legal adecuada podría dar lugar a una sanción reglamentaria.

Ambos gigantes de las redes sociales ya han estado sujetos a una variedad de procedimientos, investigaciones y medidas de cumplimiento de la UE en torno a preocupaciones de privacidad, datos y protección del consumidor en los últimos años, con una serie de investigaciones en curso y algunas decisiones importantes que se avecinan.

Krause advierte que es probable que el escrutinio público de las inyecciones de código de seguimiento de JavaScript en el navegador de la aplicación en iOS aliente a los malos actores a actualizar su software para hacer que dicho código sea indetectable para los investigadores externos, al ejecutar su código JavaScript en el “contexto de un marco y contenido específicos”. world” (también conocido como WKContentWorld), que Apple ha proporcionado desde iOS 14.3; introduciendo la disposición como una medida contra las huellas dactilares y para que los operadores de sitios web no puedan interferir con el código JavaScript de los complementos del navegador (pero la tecnología es evidentemente una espada de doble filo en el contexto de la ofuscación del seguimiento), argumentando que, por lo tanto, es “más importante que nunca para encontrar una solución para terminar con el uso de navegadores personalizados en la aplicación para mostrar contenido de terceros”.

A pesar de que se identificaron algunos comportamientos preocupantes en las aplicaciones móviles que se ejecutan en iOS, la plataforma de Apple generalmente se promociona como más segura para la privacidad que la alternativa del sistema operativo móvil con sabor a Google, Android, y vale la pena señalar que las aplicaciones que siguen la recomendación de Apple de usar Safari (o SFSafariViewController) Krause descubrió que para ver sitios web externos estaba “en el lado seguro”, incluidos Gmail, Twitter, WhatsApp y muchos otros, ya que dice que el método recomendado por Cupertino significa que no hay forma de que las aplicaciones inyecten ningún código en los sitios web, incluso mediante la implementación del sistema JavaScript aislado mencionado anteriormente (que de lo contrario podría usarse para ofuscar el código de seguimiento).