新研究:TikTok内置浏览器可追踪用户键盘操作
The New York Times
该功能被嵌入在软件内置浏览器中,可追踪到用户输入的每个字符。该公司称相关功能仅用于“调试、故障排除和性能监控”。这份报告可能为TikTok在美国的运营带来问题。
就在中国视频应用程序TikTok艰难应对美国议员对其数据管理的担忧之际,一项新研究显示,TikTok应用程序内的网页浏览器可以追踪用户的每一次键盘输入行为。
隐私政策研究员、前谷歌工程师费利克斯·克劳斯的研究并未说明TikTok如何使用这一功能,它被嵌入用户点击外部链接时会弹出的内置浏览器中。但克劳斯表示,这一情况令人担忧,因为它表明TikTok内置了跟踪用户在线习惯的功能,只要它想,就能这么做。
收集人们在访问外部网站时在手机上键入的信息可能会泄露信用卡号码和密码,这通常是恶意软件和其他黑客工具的一个功能。研究人员表示,虽然大型科技公司在测试新软件时可能会使用此类追踪工具,但对外发布带有此功能——无论是否启用——的主流商业应用程序并不常见。
“根据克劳斯的调查结果,TikTok应用程序内专用浏览器监控输入内容的方式存在问题,因为用户可能会在外部网站上输入登录凭证等敏感数据,”专门研究各应用新功能的独立软件工程师、安全研究人员黄文津表示。
她说,TikTok的内置浏览器能“从用户的外部浏览行为中提取信息,这在一些用户看来就是越界”。
中国互联网公司字节跳动所有的TikTok在一份声明中表示,克劳斯的报告是“错误且具有误导性的”,该功能只用于“调试、故障排除和性能监控”。
“与该报告所称相反,我们没有通过此代码收集键入或文本输入的记录,”TikTok表示。
现年28岁的克劳斯表示,他无法确定用户的键入是否被主动追踪,也不能确定这些数据是否被发送给了TikTok。
该研究可能会给TikTok在美国的运营带来问题,因为美国政府已经已经在仔细审查这款热门应用是否会向中国分享美国用户的信息,从而危及美国国家安全。虽然在拜登政府上任后,华盛顿关于该应用的争论有所减弱,但最近几个月,BuzzFeed News等媒体曝光了TikTok的数据管理及其与中国母公司的关联,引发了新的担忧。
有些应用程序会使用内置浏览器来防止用户访问恶意网站,或是通过自动文本填充提升在线浏览的体验。但克劳斯表示,Facebook和Instagram虽然也能用内置浏览器追踪诸如用户访问网站、标记内容以及网页点击内容等数据,但TikTok更进一步,其代码可以追踪到用户输入的每个字符。
Facebook和Instagram母公司Meta的发言人拒绝置评。