TikTok'ta bastığınız her tuşu takip eden gizli kod keşfedildi
Daha önce Google ve Twitter gibi şirketlerde çalışan siber güvenlik uzmanı Felix Krause, TikTok’un uygulama içi tarayıcısında kredi kartı ve şifreleri takip etmek için kullanılan özel bir kod keşfettiğini açıkladı.
Sosyal medya platformu TikTok için ‘küresel takip uygulaması’ olduğuna yönelik endişeler giderek artıyor. Bu endişelere dair son kritik bulgular, daha önce Twitter’da çalışırken Almanya’da Forbes dergisine kapak olan iOS geliştiricisi ve siber güvenlik uzmanı Felix Krause’den geldi.
Krause’nin ortaya koyduğu delillere göre TikTok içerisinde herhangi bir bağlantıya tıkladığınızda açılan uygulama içi tarayıcı, kredi kartı ve şifre gibi kritik bilgileri kaydeden, gizli bir koda sahip. Yani TikTok’ta gezerken farklı bir internet sitesi bağlantısı görürseniz, sadece o linke tıkladığınız bilgisi değil; örneğin o linkte gerçekleştirdiğiniz bir alışveriş sırasında kullandığınız bilgiler de kaydediliyor.
? New Post: Announcing InAppBrowser - see what JavaScript commands get injected through an in-app browser
? TikTok, when opening any website in their app, injects tracking code that can monitor all keystrokes, including passwords, and all taps.https://t.co/TxN1ezZX71 pic.twitter.com/pQcX5vrEXc— Felix Krause (@KrauseFx) August 18, 2022
İddialarını ve delillerini 18 Ağustos’ta hem kişisel blogunda hem de Twitter’da paylaşan Krause, Business Insider’a yaptığı açıklamada kullanılan kodun “keylogger ile eşdeğer olduğunu” belirtti. Keylogger yazılımı, bilişim dünyasının en köklü siber takip yazılımlarından biri ve klavyede bastığınız her tuşu kaydedip ruhunuz bile duymadan üçüncü taraflarla paylaşıyor. Ancak Kreuse, iddiasını sınırlı tutarak “TikTok’un bu verileri depoladığına ya da kullandığına yönelik somut bir kanıt bulamadığını” belirtiyor.
TİKTOK, KODUN VARLIĞINI DOĞRULADI
TikTok sözcüsü, Krause’nin yanıltıcı ve yanlış bilgiler verdiğini belirtti ve ekledi: “Raporu yayınlayan araştırmacı, söz konusu JavaScript koduyla uygulamamızın ‘kötü amaçlı şeyler yaptığı’ anlamına gelmediğini zaten kabul ediyor; uygulama içi tarayıcımızın ne tür veriler topladığını belirlemenin hiçbir yolu olmadığını söylüyor. Yalnızca hata ayıklama, sorun giderme ve performans izleme için kullanılan bu kod üzerinden kullanıcıların hangi tuşa bastıklarını veya yazdıkları metinleri takip etmiyoruz.”