速報

【悲報】TikTokでwebページ開くとタップや文字入力を全てTikTokに送るJSが挿入されることをTikTokが認める

1: アナエロリネア(東京都) [KR] 2022/08/21(日) 09:13:07.47 ID:6I3VFg+h0 BE:279771991-2BP(1500).net
※アプリ内webブラウザがどんなJSを挿入しているかの記事

すべてのキーボード入力とタップを監視するTikTok

TikTok iOS アプリでリンクを開くと、アプリ内ブラウザー内で開かれます。Web サイトを操作している間、TikTok はすべてのキーボード入力(パスワード、クレジット カード情報などを含む) と、クリックするボタンやリンクなど、画面上のすべてのタップをサブスクライブします。
TikTok iOS は、TikTok アプリ内でレンダリングされたサード パーティの Web サイトで発生するすべてのキーストローク (テキスト入力) をサブスクライブします。これには、パスワード、クレジット カード情報、およびその他の機密ユーザー データが含まれる場合があります。(keypressおよびkeydown)。TikTokがサブスクリプションを何に使用するかはわかりませんが、技術的な観点からは、これはサードパーティのWebサイトにキーロガーをインストールするのと同じです.
TikTok iOS は、TikTok アプリ内でレンダリングされた Web サイトのボタン、リンク、画像、またはその他のコンポーネントのすべてのタップをサブスクライブします。
document.elementFromPointTikTok iOS は、JavaScript 関数を使用して、ユーザーがクリックした要素 (画像など)の詳細を取得します。
これは、私が検出できたすべての JavaScript コマンドのリストです。

TikTok の声明
同社はこれらの機能がコードに存在することを確認したが、TikTok はそれらを使用していないと述べた。
「他のプラットフォームと同様に、最適なユーザー エクスペリエンスを提供するためにアプリ内ブラウザーを使用していますが、問題の Javascript コードは、そのエクスペリエンスのデバッグ、トラブルシューティング、およびパフォーマンス監視 (ページの読み込み速度やクラッシュの有無の確認など) にのみ使用されます。 」とスポークスパーソンのモーリーン・シャナハンは声明で述べた。
上記のステートメントは、私の調査結果を確認します。TikTok は、キーロガーのように動作するアプリ内ブラウザーを介して、サード パーティの Web サイトにコードを挿入します。ただし、使用されていないと主張しています。

https://krausefx.com/blog/announcing-inappbrowsercom-see-what-javascript-commands-get-executed-in-an-in-app-browser

2: オピツツス(大阪府) [KR] 2022/08/21(日) 09:15:59.82 ID:bdDKRfog0.net
知ってた

続きを読む
Source: 暇人\(^o^)/速報 – ライブドアブログ