TikTok 抖音内建浏览器 可监控用户输入的内容 - 2023

..

这个研究结果对 TikTok(抖音)还蛮伤的,当可以将程式码(JavaScript)做嵌入外部网站,那影响范围就大囉~~

TikTok 抖音内建浏览器 可监控用户输入的内容

这篇新闻主要的重点在于:

  1. TikTok应用程式内建浏览器将程式语言JavaScript嵌入外部网站
  2. 这些 JavaScript 会允许应用程式监控使用者输入的所有内容(包括密码和信用卡号码 等)
    • 简单说,就是使用 TikTok 内建的浏览器,输入任何资料都会被打回去

从另外一个角度来看,解法:完全不要使用 TikTok 的浏览器来做事,记得把网址复制到自己的 Safari 或 Chrome 等浏览器去观看即可

对于一般大众搞不懂的,当然最简单的就是把 TikTok 移除即可

下述整理自此篇:研究发现:TikTok内建浏览器 监控用户输入信用卡号

安全研究人员发现,短影音社群平台TikTok应用程式内建浏览器将程式语言JavaScript嵌入外部网站,以允许应用程式监控使用者输入的所有内容,包括密码和信用卡号码。

国外科技网站 Appleinsider 报导:

  • 2020年就有人发现 TikTok 会读取用户的剪贴簿内容,如今TikTok又被发现再次偷窥使用者资料
  • 每当使用者在 TikTok 中开启连结时,TikTok 就可以监控用户在该外部网站所做的任何事情,包括输入的任何内容,还有触击的按键和连结

这个作法是否是意外 还是 误会?

  • TikTok vs 富比世 的质问与回答说明:
    • 这个作法并不是程式人员的意外错误行为,「富比世」:「这是公司主动做出的选择。这不是一件简单的工程任务,不是编码出差错或随机发生的。」
    • TikTok 一位发言人告诉「富比世」:这项编码并不是恶意编码,而是用来「除错、排除障碍和监控效能的」
    • Tiktok 严正驳斥应用程式内建浏览器监控用户的想法。公司证实编码中存在这些功能,但表示TikTok没有使用这些功能。
    • TikTok 声称 JavaScript 是第三方软件开发工具套件的一部分,但没有透露是由谁制作。
    • 克劳瑟无法确定TikTok是否一直从用户端收集资料,他只是告诉外界TikTok可以这么做。
  • 为了避免被监控,克劳瑟建议使用Safari浏览器,开启TikTok和几乎所有其他具有应用程式内建浏览器的服务所分享的连结

相关网页

想在手机阅读更多程式设计资讯?下载【香港硅谷】Android应用
分享到Facebook