TikTok giám sát hoạt động bàn phím của người dùng qua trình duyệt app trên iOS, theo chuyên gia
Theo một nhà nghiên cứu từng làm việc cho Google và Twitter, TikTok ghi lại toàn bộ thao tác gõ phím của người dùng bằng trình duyệt được tích hợp trong ứng dụng TikTok trên các loại thiết bị của Apple, bao gồm cả mật khẩu và số thẻ tín dụng.
Nhà phát triển ứng dụng kiêm nhà nghiên cứu bảo mật Felix Krause đã xuất bản một báo cáo về những rủi ro liên quan đến việc một số ứng dụng trên nền tảng iOS đã nhúng mã JavaScript vào trình duyệt web của bên thứ ba.
Trong số bảy ứng dụng iOS phổ biến nhất được phân tích, TikTok có trụ sở tại Bắc Kinh là ứng dụng duy nhất không cung cấp cho người dùng tùy chọn mở liên kết bằng trình duyệt web của bên thứ ba.
Ông Krause nhận thấy rằng ứng dụng TikTok trên nền tảng iOS “đang theo dõi toàn bộ hoạt động gõ phím diễn ra trên các trang web, bao gồm các lần nhấp vào toàn bộ các nút nhấn và đường liên kết” được truy cập thông qua trình duyệt được tích hợp sẵn trong ứng dụng.
“TikTok trên iOS đang trả tiền để có được mọi hoạt động gõ phím (nhập văn bản) diễn ra trên các trang web của bên thứ ba được hiển thị bên trong ứng dụng TikTok. Điều này có thể bao gồm mật khẩu, thông tin thẻ tín dụng, và dữ liệu người dùng nhạy cảm khác (nhấn phím và nhấp phím),” ông Krause viết.
“Chúng tôi không thể biết được mục đích TikTok sử dụng việc thu thập thông tin này làm gì, nhưng từ góc độ kỹ thuật, điều này tương đương với việc cài đặt keylogger (phần mềm gián điệp theo dõi nội dung gõ trên bàn phím) trên các trang web của bên thứ ba.”
TikTok xác nhận rằng đoạn mã này có tồn tại trong ứng dụng iOS, nhưng tuyên bố rằng họ không sử dụng đến nó.
“Giống như các nền tảng khác, chúng tôi sử dụng trình duyệt trong ứng dụng để cung cấp trải nghiệm tối ưu cho người dùng, nhưng mã Javascript được đề cập chỉ được dùng cho mục đích gỡ lỗi, khắc phục sự cố, và theo dõi hiệu suất của trải nghiệm đó — chẳng hạn như kiểm tra tốc độ tải trang hoặc xem ứng dụng có bị treo hay không,” phát ngôn viên của TikTok, bà Maureen Shanahan cho biết trong một tuyên bố mà ông Krause thu thập được.
Ông Krause đã phân tích TikTok, Facebook, Instagram, Snapchat, Amazon, Robinhood, và Messenger bằng một công cụ do ông phát triển có tên là InAppBrowser.com.
Theo báo cáo của ông, chỉ có Snapchat và Robinhood là không chèn mã JavaScript. Facebook, Instagram, và Messenger đã nhúng một số đoạn mã, nhưng ông Krause nói rằng điều đó “không có nghĩa là ứng dụng này đang làm bất cứ điều gì độc hại.”
Ông Krause viết, “Khi một ứng dụng chèn JavaScript vào các trang web bên ngoài, thì điều đó không có nghĩa là ứng dụng đó đang làm bất cứ điều gì độc hại. Không có cách nào để chúng ta biết được toàn bộ chi tiết về loại dữ liệu mà mỗi trình duyệt trong ứng dụng đang thu thập, hay liệu dữ liệu đó có đang được chuyển đi hoặc sử dụng hay không, và nếu có thì bằng cách nào.”
Những rủi ro
Ông Krause cho biết rủi ro xảy ra khi người dùng mở liên kết trong khi sử dụng ứng dụng trên nền tảng iOS, chẳng hạn như TikTok, sau đó xem trang web được hiển thị bên trong ứng dụng đó thay vì mở liên kết bằng trình duyệt của bên thứ ba, chẳng hạn như Safari hoặc Chrome.
Một số mã JavaScript cho phép các ứng dụng biết người dùng đã truy cập trang web được liên kết đó trong bao lâu, họ đã mở những đường liên kết nào, họ đã nhấn vào cái gì, dữ liệu vị trí nếu được kích hoạt, và thậm chí ghi âm người dùng hoặc “phân tích khuôn mặt của họ” trong khi duyệt, ông Krause lưu ý trong bài đăng năm 2018 trên blog.
Điều này xảy ra “mà không có sự đồng ý từ người dùng, cũng như nhà cung cấp trang web,” ông nói.
Ví dụ: một người sử dụng ứng dụng Safari trên iPhone của họ có thể lưu lại thông tin đăng nhập hoặc thông tin thẻ tín dụng của họ để thuận tiện cho việc đăng nhập lần sau. Nhưng nếu họ truy cập một trang web bằng trình duyệt được tích hợp trong ứng dụng của TikTok, thì mọi thông tin đăng nhập hoặc thanh toán sẽ cần được nhập lại từ đầu. Theo báo cáo, quá trình gõ phím đó đang bị theo dõi.
Ông Krause viết: “Điều này gây ra nhiều rủi ro khác nhau cho người dùng, trong đó ứng dụng chủ quản có thể theo dõi mọi tương tác với các trang web bên ngoài, từ tất cả các đầu vào dạng điền như mật khẩu và địa chỉ, cho đến từng lần bấm vào màn hình.”
Các chuyên gia từ lâu đã cảnh báo rằng không thể tín nhiệm TikTok vì mối liên hệ của công ty này với Đảng Cộng sản Trung Quốc (ĐCSTQ). Điều này đã khiến công ty này bị giám sát gắt gao.
Luật an ninh của Trung Quốc buộc các công ty phải hợp tác với các cơ quan tình báo khi được yêu cầu. TikTok nói rằng họ sẽ không tuân theo bất kỳ yêu cầu nào của ĐCSTQ đối với dữ liệu người dùng.
Ông Casey Fleming, Giám đốc điều hành của công ty chiến lược an ninh và tình báo BlackOps Partners, nói rằng ĐCSTQ đang tiến hành “siêu hạn chiến” (“unrestricted warfare”, chiến tranh không giới hạn) khi họ tìm cách thế chỗ Hoa Kỳ trở thành siêu cường độc tôn trên thế giới.
Ông nói: “Tất cả công nghệ ra khỏi Trung Quốc — kể cả được sản xuất ở Trung Quốc hay được tạo ra ở Trung Quốc — đều nằm trong tầm kiểm soát của ĐCSTQ.”
Lượng dữ liệu khổng lồ mà TikTok thu thập về người dùng của mình, chủ yếu là giới trẻ Mỹ, biến ứng dụng này trở thành một tai họa, theo một chuyên gia khác, người cho biết ứng dụng này có thể được sử dụng để theo dõi người Mỹ.
“Nếu các vị muốn thám thính một quốc gia, cần gì phải đưa vào một điệp viên theo lối xưa như diễm vậy chứ? Tại sao không đưa vào một ứng dụng tuyệt vời và làm cho nó trở nên phổ biến?” ông Gary Miliefsky, một chuyên gia an ninh mạng và là nhà xuất bản của Tạp chí Phòng thủ Không gian mạng (Cyber Defense Magazine), cho biết trong một tuyên bố mà The Epoch Times đã thu thập được trước đó. (T/H, ETV)