软餐(ruancan.com)获悉,短视频应用 TikTok 近日又陷入舆论风波。
据安全研究者 Felix Krause 披露,当用户在 iOS 版 TikTok 应用程序中访问第三方网页链接时,TikTok 内置的浏览器会向第三方网页注入 JavaScript 代码,这段 JavaScript 代码可被用作键盘记录器,以记录 TikTok 用户通过键盘输入的数据,例如密码和支付信息等。暂不清楚 TikTok 安卓版是否也存在相同的行为。
TikTok 对外媒回应称,承认以上 JavaScript 代码确实存在,但该公司表示,有关所谓的键盘记录器的消息具有误导性。这段有争议的代码是第三方 SDK 中未使用的部分。“与其他平台一样,我们也使用应用内浏览器来提供最佳用户体验。相关的 JavaScript 代码用于调试、故障排除和监控应用程序的性能,例如检查页面的加载速度以及是否页面崩溃。” 因此 TikTok 不会使用来自第三方 SDK 的代码的键盘记录部分。TikTok 强调称某些注册数据仅在设备本地处理,不会转发到服务器。
但 TikTok 注册了用户的键盘输入的确是事实。安全研究者建议,通过 TikTok 等应用访问第三方网页时,最好复制其链接后将其粘贴到受信任的浏览器中访问,以避免这些应用程序获取敏感数据。
微信扫一扫