20/08/2022 11:30

Ứng dụng TikTok trên iOS có thể lấy cắp mật khẩu, tài khoản ngân hàng…

Trong lúc dùng ứng dụng TikTok trên nền tảng iOS, khi người dùng nhấn vào một đường link, nội dung của trang web sẽ được mở bằng trình duyệt web được tích hợp trong ứng dụng, thay vì trình duyệt mặc định trên thiết bị.

Tuy nhiên, theo nhà nghiên cứu bảo mật người Mỹ Felix Krause, TikTok đã chèn vào trình duyệt web của mình những đoạn mã JavaScript có chức năng theo dõi toàn bộ nội dung người dùng gõ trên bàn phím, cũng như các vị trí mà người dùng nhấn vào màn hình của thiết bị.

Ứng dụng TikTok trên iOS có thể lấy cắp mật khẩu, tài khoản ngân hàng…

Ứng dụng TikTok gây lo ngại vì có khả năng thu thập nội dung gõ phím của người dùng (Ảnh minh họa: Getty).

Nghĩa là nếu người dùng truy cập vào một trang web từ ứng dụng TikTok trên iOS, mọi nội dung người dùng gõ vào trên trang web hoặc những vị trí người dùng nhấn vào màn hình sẽ được TikTok thu thập. Điều này đồng nghĩa với việc nếu người dùng điền mật khẩu đăng nhập vào trang web hoặc điền thông tin tài khoản ngân hàng, số thẻ tín dụng… TikTok có thể thu thập được các thông tin này.

"Từ góc độ kỹ thuật, điều này tương đương với việc cài đặt một phần mềm keylogger (phần mềm gián điệp theo dõi nội dung gõ trên bàn phím) vào thiết bị của người dùng", Felix Krause chia sẻ về phát hiện của mình.

Sau khi thông tin được Felix Krause công bố, đại diện của TikTok đã phủ nhận cáo buộc và cho biết những đoạn mã JavaScript chèn vào trong trình duyệt tích hợp của TikTok chỉ nhằm mục đích sửa lỗi, phát hiện các sự cố cũng như giám sát hiệu suất hoạt động của ứng dụng… nhằm tăng trải nghiệm của người dùng.

"Giống như nhiều nền tảng mạng xã hội khác, chúng tôi sử dụng trình duyệt web tích hợp riêng cho ứng dụng để mang đến cho người dùng trải nghiệm tối ưu nhất. Tuy nhiên, đoạn mã JavaScript được phát hiện chỉ nhằm mục đích gỡ lỗi, khắc phục sự cố và theo dõi hiệu suất hoạt động của trình duyệt, chẳng hạn như kiểm tra tốc độ tải trang hoặc xem ứng dụng có bị treo hay không", đại diện TikTok cho biết trong một thông cáo đưa ra.

"Chúng tôi không thu thập thông tin gõ phím hoặc nhập nội dung văn bản thông qua đoạn mã được trang bị trên trình duyệt", đại diện của TikTok nhấn mạnh.

Cũng như TikTok, Facebook và Instagram là 2 nền tảng mạng xã hội cũng được tích hợp trình duyệt web riêng vào ứng dụng để mở các trang web.

Đáng chú ý, Felix Krause cũng đã phát hiện thấy trong trình duyệt web tích hợp của Facebook và Instagram có chèn những đoạn mã JavaScript để thu thập thông tin người dùng, tương tự như trên trình duyệt web tích hợp của TikTok.

Tuy nhiên, trong khi Facebook và Instagram cho phép người dùng chọn một trình duyệt khác trên smartphone để mở các trang web, thì với TikTok, người dùng không thể lựa chọn để thay thế trình duyệt web tích hợp trên ứng dụng.

Đại diện của Meta (công ty mẹ của Facebook và Instagram) cho biết việc đưa mã theo dõi vào trình duyệt web tích hợp của ứng dụng tuân theo lựa chọn của người dùng, về việc họ có cho phép ứng dụng theo dõi hoạt động của mình hay không. Các dữ liệu do Meta thu thập sẽ được sử dụng cho mục đích quảng cáo phù hợp với sở thích và sự quan tâm của người dùng.