Používáte TikTok na iOS? Pak byste měli vědět o tomto bezpečnostním riziku

1
Používáte TikTok na iOS? Pak byste měli vědět o tomto bezpečnostním riziku
Fotografie: Petr Vojtěch, mobilenet.cz
  • Prohlížení obsahu v internetových prohlížečích integrovaných do aplikací může být nebezpečné
  • TikTok, ale i jiní, mohou v takovém případě sbírat velmi citlivá data bez vědomí uživatele

Sbírání dat o uživatelích na sociálních sítích a jejich následné prodávání v jakékoliv podobě je v DNA takřka každé novodobé sociální platformy. V případě TikToku a některých dalších aplikací to však může vést i k nečekaným bezpečnostním problémům.

Specialista na bezpečnost Felix Krause, na něhož se odkazuje například The Verge nebo The Guardian, přišel se zajímavým zjištěním důležitým především pro uživatele iOS. Aplikace jako TikTok nebo Instagram totiž při otevření internetových odkazů v rámci zabudovaného prohlížeče využívají JavaScript pro možné špehování uživatele. V případě Instagramu nebo třeba Facebooku přitom aplikace umožňují odkaz otevřít v klasickém prohlížeči, čímž se uživatelé tomuto riziku vyhnou, TikTok však v současnosti takovouto volbu nenabízí, odkaz se tak automaticky otevře v prohlížeči integrovaném do aplikace.

Prohlížeče integrované do aplikací v iOS sice využívají WebKit Safari, vývojáři daných aplikací je však mohou upravit a vložit do nich vlastní kód v JavaScriptu, čímž je mohou v podstatě „naprogramovat“ ke sledování aktivity uživatele bez souhlasu majitelů webových stránek třetích stran, které dotyčný navštíví.

Výše uvedené znamená, že konkrétně TikTok může sledovat informace o proklicích na ovládací prvky umístěné na dané stránce, údaje zadané skrze klávesnici nebo třeba, jestli jste pořídili screenshot. V podstatě tedy funguje jako keylogger a může sbírat velmi citlivá uživatelská data.

Na zjištění Krause, které podrobně popisuje na krausefx.com, zareagoval mluvčí společnosti Meta, pod kterou spadá Facebook a Instagram. Ten uvádí, že byl sledovací kód vyvinut se zohledněním ATT, tedy možnosti uživatelů odmítnout sledování jejich chování aplikacemi na internetu a je určen pouze pro „účely měření“.


Využívání JavaScriptu je samozřejmě běžnou praxí a nemusí nutně znamenat nic špatného,“ dodává Krause, který pro uživatele iOS připravil stránky InAppBrowser.com, kde si mohou zkontrolovat, jestli nedochází k jejich případnému špehování. Jedním dechem bezpečnostní expert zároveň dodává, že JavaScript může být vložen takovým způsobem (jinými slovy schovaný), že jej InAppBrowser.com nerozpozná.

Jak se správně zachovat?

Krause se vyjádřil pro zrušení integrovaných prohlížečů v aplikacích, ačkoliv se najdou i případy, kdy je jejich využití opodstatněné. Aplikace například může dotyčnou osobu přesměrovat na stránky dané společnosti. Společnostem s aplikacemi využívajícími integrované prohlížeče proto doporučuje otevírat v nich pouze odkazy vedoucí na jejich vlastní stránky a veškerý externí obsah zobrazovat v klasickém (neintegrovaném) webovém prohlížeči. Uživatelům pro změnu vřele doporučuje, aby vždy když je to možné, volili možnost otevření stránky v (externím) prohlížeči.

Diskuze ke článku
Janek Fanek
Janek Fanek
Ano, je to pravda. Pokud se však podíváte do dávné minulosti, zjistíte, že vyhodnocení stisků na klávesnici je známé desítky let. Mimochodem tuto praxi bez problémů používá řada dalších, zejména Facebook či Instagram. Proč tedy tento článek vyšel v řadě technických webů zrovna nyní? No přece, jak jinak upozornit na Čínu, v době černobílého vidění světa a fobniho jednání politiků se to hodí. Naštěstí i v západním světě existují ještě rozumní lidé, o čemž svědčí jejich příspěvky na stránkách technických webů. Důvod pro takovy článek může být i jiný, např sledování uživatelů jak se k tomu postaví. V Rakousko --Uhersku se tomu říkalo " nálada obyvatelstva " a bylo hodnoceno speciálním systémem. "Tak nám zabili Ferdinanda pani M....."

Načíst všechny komentáře

Přidat názor

Nejživější diskuze