TikTok kan alles lezen - zelfs wachtwoorden
19/8/2022
Vertaling: machinaal vertaald
TikTok kan blijkbaar elke klik en elke toetsaanslag in zijn in-app browser registreren, inclusief wachtwoorden en creditcardgegevens. Het bedrijf zegt zelf dat de technische mogelijkheid bestaat, maar niet gebruikt wordt.
Wie links opent of tekst invoert in de in-app browser van TikTok moet er rekening mee houden dat elke aanraking op het scherm kan worden opgenomen. Dat blijkt uit een analyse van de privacy-onderzoeker Felix Krause, die de code van de iPhone-app onderzocht. Blijkbaar opent de browser niet gewoon de website, maar injecteert hij daarnaast zijn eigen Javascript-code, waardoor TikTok kan zien wat gebruikers precies doen. Of hetzelfde geldt voor de Android-versie van de app is nog onduidelijk.
"We weten niet waarvoor TikTok deze functie gebruikt. Technisch gezien is het niets meer dan een keylogger op websites van derden," schrijft Krause. Dit betekent dat het Chinese bedrijf theoretisch elke invoer kan registreren, inclusief wachtwoorden of creditcardgegevens. Extra explosief: Anders dan in de apps van Facebook of Instagram hebben gebruikers van TikTok geen directe mogelijkheid om in plaats daarvan links te openen in de standaard browser van de mobiele telefoon. Verder registreren de in-app browsers van de meta-apps ook elke klik op links, maar in ieder geval geen toetsaanslagen.
TikTok: "We verzamelen geen wachtwoorden"
Het implementeren van deze code moet volgens Krause een bewuste beslissing zijn geweest van TikTok: "Dit is een aanzienlijke ontwikkelingsinspanning die niet per ongeluk of per toeval gebeurt."
Of TikTok de code daadwerkelijk gebruikt om gegevens te verzamelen, of gegevens naar de servers van het bedrijf of naar derden worden gestuurd, weet Krause niet.
TikTok zelf verzamelt geen wachtwoorden.
TikTok zelf ontkent heftig de beschuldigingen van het vastleggen van wachtwoorden aan het zakenblad Forbes: "Net als andere platforms gebruiken we een in-app browser om gebruikers de beste ervaring te geven. De Javascript code wordt alleen gebruikt om bugs te repareren en de prestaties van de browser te controleren." Het bedrijf zegt dat de code deel uitmaakt van een software development kit van een derde partij - vragen over wie die derde partij is bleven onbeantwoord.
Omslagfoto: Afbeelding: Shutterstock
Samuel Buchmann
Senior Editor
Samuel.Buchmann@digitecgalaxus.chMijn vingerafdruk verandert vaak zo drastisch dat mijn MacBook hem niet meer herkent. De reden? Als ik me niet vastklamp aan een beeldscherm of camera, dan klamp ik me waarschijnlijk aan mijn vingertoppen vast aan een rotswand.