Huolestuttava tietoturvapaljastus TikTokista – sovellus pystyy teoriassa kaappaamaan salasanoja tai luottokorttitietoja

Videopalvelu TikTokista on paljastunut vakava tietoturvauhka. Sovelluksen sisäinen selain mahdollistaa käyttäjän näppäimistön painallusten seuraamisen. 

Tietoturvatutkija Felix Krause on julkaissut raportin, jossa hän yksityiskohtaisesti selventää videopalvelu TikTokista löytämänsä tietoturva-aukon.

Hän kertoo, että käyttäjän avatessa TikTokissa linkin sivustolle, TikTok avaa sivun sovelluksen sisäisessä selaimessa ja syöttää puhelimeen JavaScript-pohjaisen koodin, joka monitoroi käyttäjän näppäimistön painalluksia tai klikkauksia sivustolla.

Krause ilmaisee raportissa huolensa, että tällä tavalla TikTok voisi käytännössä saada haltuunsa käyttäjän salasanoja tai luottokorttitietoja, mikäli tämä syöttää niitä sovelluksen sisäisen selaimen kautta. Kraus ilmaisi, että tällaisen koodin asentaminen ei tapahdu vahingossa, vaan sen käyttö on yhtiön aktiivinen päätös. 

Myös Meta käyttää epäilyttäviä koodeja

Muun muassa Forbes kertoi TikTokin vastauksesta uutisessaan. Yhtiö myöntää kyseisen koodin olemassaolon, mutta kielsi yhtiön käyttävän niitä yksilön seurantaan. Yhtiön mukaan muutkin sosiaalisen median alustat käyttävät vastaavanlaista koodia, ja sen tarkoitus on auttaa ongelmanratkaisussa ja monitoroida sovelluksen suorituskykyä. 

Krause on aiemmin raportoinut myös Metan sovellusten Facebookin ja Instagramin käyttävän vastaavanlaista koodia käyttäjänsä seurantaan. Meta ei ole vastannut yksityiskohtaisesti sille esitettyihin tietoturvakysymyksiin, mutta kommentoi sovellusten sisäisten selainten olevan alalla yleisiä, ja kertoi koodien olevan huolellisesti suunniteltu kunnioittaen käyttäjiensä yksityisyyttä.

Lue myös:

    Uusimmat

    Sivusto ei tue käyttämääsi selainta. Suosittelemme vaihtamaan tuettuun selaimeen. Lisätietoja