TikTokのアプリ内ブラウザは、すべてのキー入力を監視しています。TikTok「不正確で、誤解を招く」と主張

TikTokのアプリ内ブラウザは、すべてのキー入力を監視しています。TikTok「不正確で、誤解を招く」と主張

2022年8月23日

TikTokのアプリ内ブラウザでウェブサイトにアクセスすると、TikTokはユーザーのキーストロークやタップなどのアクティビティを監視できるコードを挿入していることが判明。TikTok側は追跡できるコードを挿入している事実を認めていますが、デバッグなどにのみ利用されていると主張しています。

アプリ内ブラウザは注意しましょう。個人情報が監視されているかもしれません

tiktok.jpg
Photo by Jeremy Bezanger on Unsplash

アプリ開発者向けツール「fastlane」の創設者でプライバシーリサーチャーのFelix Krause氏が、TikTokのアプリ内ブラウザ(In App Browser)で任意のウェブサイトを開くと、パスワードを含むすべてのキーストロークとすべてのタップを監視できる追跡コードが挿入されると指摘しています。

Felix Krause氏はアプリ内ブラウザを調査して、外部のJavaScriptコードが挿入されていないか調べるために「https://InAppBrowser.com」を作成。TikTokのアプリ内ブラウザで開くと、すべてのキーボード入力(クレジットカード情報、パスワード、その他の機密情報を含む)を観察できるコードが挿入されると報告。またTikTokは、ボタンやリンクのクリックなど、すべてのタップを監視するコードも挿入しているとのこと。

場合によってはユーザーのクレジットカード情報やパスワードなども、TikTokに監視されている可能性があります。

TikTokはこの指摘に対して「不正確であり、誤解を招く」と主張。TikTokは、このコードを通じてキーストロークやキー入力を収集しておらず、デバッグやトラブルシューティング、パフォーマンス監視のためにのみ使用していると主張しています。

TikTokの主張どおり、キー入力を収集していないとしても、キー入力をサブスクライブできることは事実。Felix Krause氏の調査でも、TikTokがデータを収集したり、どこかのサーバーに送信したりすることは明らかになっていませんし、このログがユーザーIDと紐付けられているかも不明です。

またFelix Krause氏は、Instagramアプリにも同じようなJavaScriptが使用されていると指摘。ユーザー自身で防ぐには、アプリ内ブラウザを利用しないか、Safariに変更できる場合は変更するなどが挙げられます。

TikTokを巡るさまざまな問題

TikTokは中国のByteDanceが運営していますが、中国当局からの関与が行われていないか、コンテンツモデレーションやアルゴリズムの調査をOracleが開始したと報じられています

また今年6月に米BuzzFeed Newsが報じられていた件や、TikTokがAppleとGoogleのプライバシー保護を回避してユーザーの機密データにアクセスできるとする研究などが報じられたことを受け、米連邦通信委員会(FCC)のコミッショナー・Brendan Carr氏が、TikTokをアプリストアから削除するよう、AppleとGoogleに要請。

一部の中国拠点の従業員は、TikTokの米ユーザーのデータにアクセスできることも判明しています。

drip公認バリスタ