Το TikTok περιλαμβάνει κώδικα για την παρακολούθηση των χρηστών του
24 Αυγούστου 2022
Από ότι φαίνεται, καθημερινά ανακαλύπτουμε περισσότερους τρόπους που ορισμένες από τις πιο δημοφιλείς εφαρμογές μέσων κοινωνικής δικτύωσης χρησιμοποιούν για να συλλέγουν δεδομένα για τους χρήστες τους.
Πρόσφατα, το TikTok βρέθηκε αντιμέτωπο με ισχυρισμούς ότι καταγράφει όλα όσα πληκτρολογούν οι χρήστες που χρησιμοποιούν το εντός της εφαρμογής πρόγραμμα περιήγησης στο Internet.
Ο ερευνητής ασφάλειας Felix Krause σε μία ανάρτηση στο προσωπικό του blog αποκάλυψε ότι αν και υπάρχουν πολλές εφαρμογές που τροποποιούν ιστοσελίδες χρησιμοποιώντας JavaScript, υπάρχει μία εφαρμογή που φαίνεται να είναι η πιο ανησυχητική. Ο Felix Krause ισχυρίζεται ότι η εφαρμογή του TikTok διαθέτει κώδικα που της επιτρέπει να καταγράφει όσα πληκτρολογούν οι χρήστες του (κάτι γνωστό και ως keylogging) και να παρακολουθεί τις δραστηριότητες τους.
Το TikTok δεν παρέχει στους χρήστες του τη δυνατότητα να «ανοίγουν» συνδέσμους με τον προεπιλεγμένο browser στην συσκευή τους (ή με το πρόγραμμα περιήγησης που έχουν οι ίδιοι επιλέξει). Ο ερευνητής ισχυρίζεται ότι το TikTok στις συσκευές iOS, έχει την ικανότητα να τροποποιεί σελίδες και να χρησιμοποιεί κώδικα JavaScript για να ανακτά μεταδεδομένα, κάτι που από μόνο του δεν είναι πολύ ανησυχητικό λαμβάνοντας υπόψη ότι δεν κάνει και πολλά για να «ποσοτικοποιήσει» τη δραστηριότητα των χρηστών του. Παρόλα αυτά, με τη χρήση ενός εργαλείου που έχει αναπτύξει ο ίδιος, ο Felix Krause κατάφερε να ανακαλύψει επιπλέον κώδικα JavaScript που έχει την ικανότητα να καταγράφει οποιαδήποτε εισαγωγή κειμένου και οποιοδήποτε κλικ. Έτσι, όταν κάνετε κλικ σε έναν σύνδεσμο εντός της εφαρμογής κοινωνικής δικτύωσης, ο keylogging κώδικας καταγράφει κάθε πάτημα στο πληκτρολόγιο, συμπεριλαμβανομένων κωδικών πρόσβασης ή αριθμών πιστωτικών καρτών κ.ά. Επίσης, έχει τη δυνατότητα να παρακολουθεί τους συνδέσμους στους οποίους κάνετε κλικ ή ποια μηνύματα στέλνετε σε φίλους, εφόσον βεβαίως χρησιμοποιείτε τον browser εντός της εφαρμογής.
Μετά την σχετική αποκάλυψη, και αφότου δημοσιογράφοι επικοινώνησαν με εκπροσώπους του TikTok, το εξαιρετικά δημοφιλές στις νεαρές ηλικίες μέσο κοινωνικής δικτύωσης απάντησε ότι ενώ ο κώδικας πράγματι είναι προφορτωμένος στην εφαρμογή, εντούτοις δεν χρησιμοποιείται παρά μόνο για αποσφαλμάτωση και αντιμετώπιση προβλημάτων. Ένας εκπρόσωπος του TikTok απάντησε στην ερώτηση της ιστοσελίδας Gizmodo: «Τα συμπεράσματα της έρευνας σχετικά με το TikTok είναι εσφαλμένα και παραπλανητικά. Ο ίδιος ο ερευνητής λέει συγκεκριμένα ότι ο κώδικας JavaScript δεν σημαίνει ότι η εφαρμογή μας κάνει κάτι κακόβουλο και παραδέχεται ότι δεν υπάρχει κάποιος τρόπος να γνωρίζει τι είδους δεδομένα συλλέγει το πρόγραμμα περιήγησής εντός της εφαρμογής μας. Σε αντίθεση με τους ισχυρισμούς, δεν καταγράφουμε εισαγωγές κειμένου ή πατήματα στο πληκτρολόγιο μέσω του συγκεκριμένου κώδικα, ο οποίος χρησιμοποιείται αποκλειστικά για αποσφαλμάτωση, αντιμετώπιση προβλημάτων και την παρακολούθηση απόδοσης».
Ο Ari Lightman, καθηγητής ψηφιακών μέσων και μάρκετινγκ στο Πανεπιστήμιο Carnegie Mellon δήλωσε στο Gizmodo ότι οι δικαιολογίες του TikTok σχετικά με την ύπαρξη του κώδικα JavaScript δεν είναι και ιδιαίτερα… πειστικές. Αν και ενδεχομένως να υπάρχουν ζητήματα ασφάλειας ή βελτίωσης της εμπειρίας χρήσης που θα μπορούσαν να δικαιολογήσουν την ύπαρξη του κώδικα, οι εταιρείες μέσων κοινωνικής δικτύωσης αποκομίζουν τεράστια ποσά, αν όχι το μεγαλύτερο μέρος των κερδών τους, από τις διαφημίσεις, και τα δεδομένα των χρηστών παίζουν σημαντικό ρόλο (π.χ. για στοχευμένη διαφήμιση).
«Ένας από τους πιο κοινότυπους παράγοντες είναι ότι δεν θέλουν να εγκαταλείπετε την πλατφόρμα» είπε ο Ari Lightman. «Οι χρήστες συχνά δεν επιστρέφουν και το [TikTok] δεν μπορεί να συλλέξει δεδομένα όταν θέλει να δημιουργήσει έσοδα από την πλατφόρμα… έτσι δημιουργεί έσοδα από δεδομένα -συλλέγοντας περισσότερες πληροφορίες για τις ανάγκες, τα επιθυμίες ή ακόμα και από τη δημιουργία προφίλ για την προσωπικότητα των χρηστών».
Το TikTok είπε ότι ο κώδικας JavaScript αποτελεί μέρος ενός SDK, και ότι ο συγκεκριμένος κώδικας δεν χρησιμοποιείται εξ αποστάσεως (remotely). Σύμφωνα με την εταιρεία, το SDK που περιλαμβάνει τον κώδικα keylogging αναπτύχθηκε από τρίτους. Επίσης είπε ότι αν τολμούσαν να κατευθύνουν τους χρήστες σε προγράμματα περιήγησης (browsers) εκτός της εφαρμογής θα προσέφεραν μία απλώς κακή εμπειρία στους χρήστες. O Ari Lightman δεν πείστηκε ούτε από τις παραπάνω δικαιολογίες πάντως. Οι εταιρείες που βρίσκονται πίσω από εφαρμογές όπως το TikTok, όπως για παράδειγμα είναι η εταιρεία ByteDance στη συγκεκριμένη περίπτωση, είναι «πολύ ικανές στην ανάπτυξη μοντέλων μηχανικής εκμάθησης. Τέτοια πράγματα (όπως το SDK της εταιρείας) δοκιμάζονται, αναλύονται και ελέγχονται διεξοδικά» γεγονός που καθιστά την ιδέα ότι το TikTok απλώς θα άφηνε τον συγκεκριμένο κώδικα εκεί να υπάρχει χωρίς να τον χρησιμοποιεί «είναι δύσκολο να το πιστέψει κάποιος».
Ο Felix Krause είπε ότι η έρευνά του δεν μπορεί να δείξει αν το TikTok ή άλλες εταιρείες χρησιμοποιούν ενεργά αυτόν τον κώδικα JavaScript για την παρακολούθηση των χρηστών, αλλά το γεγονός ότι υπάρχει, απλώς επιβαρύνει τη θέση των συγκεκριμένων εταιρειών, για τις οποίες έχει αποδειχτεί, ότι δεν χαίρουν εμπιστοσύνης για την προστασία των δεδομένων των χρηστών. Ο ίδιος ερευνητής είχε αναφερθεί και στο παρελθόν για τον κώδικα JavaScript που βρίσκεται σε εφαρμογές όπως το Instagram και το Facebook, οι οποίες θα μπορούσαν να τον χρησιμοποιήσουν για την παρακολούθηση σχεδόν όλης της δραστηριότητας των χρηστών όταν χρησιμοποιούν τον in-app browser -όπως στην περίπτωση του TikTok. Τότε, ο ερευνητής είχε κάνει γνωστό ότι ο συγκεκριμένος κώδικας μπορεί να παρακολουθεί όλες τις αλληλεπιδράσεις, όλες τις επιλογές κειμένου και τα κλικ, ακόμη και όταν οι χρήστες κάνουν κλικ σε διαφημίσεις. Ο ερευνητής επίσης διαπίστωσε ότι το Instagram στο iOS καταγράφει κάθε πάτημα κουμπιού και κάθε κλικ σε σύνδεσμο εντός της εφαρμογής. Γνωρίζει ακόμη και πότε επιλέγεται ένα πεδίο κειμένου στην ιστοσελίδα κάποιου τρίτου.
Σε μια δήλωση στο tweet την περασμένη εβδομάδα, ο εκπρόσωπος Τύπου της Meta, Andy Stone, έγραψε ότι οι ισχυρισμοί του ερευνητή για τον τρόπο λειτουργίας των browsers που βρίσκονται εντός των εφαρμογών της Meta είναι λανθασμένοι.
Σαν να μην έφταναν τα παραπάνω, ο Felix Krause επισημαίνει ότι τέτοιες εφαρμογές έχουν την ικανότητα να κρύβουν τη JavaScript τους χρησιμοποιώντας γνωστά και καθιερωμένα εργαλεία στο iOS, όπως τον κώδικα WKContentWorld, έτσι ώστε οι ιστοσελίδες να μην έχουν τη δυνατότητα να παρεμβαίνουν στον κώδικα JavaScript τους. Αν κάποια από αυτές τις εταιρείες ήθελε να κρύψει τις δραστηριότητες της από ιστοσελίδες ή από τα εργαλεία που χρησιμοποιούν οι ερευνητές, θα μπορούσαν να το κάνουν, και πολύ εύκολα. «Οι εταιρείες τεχνολογίας που εξακολουθούν να χρησιμοποιούν προσαρμοσμένα προγράμματα περιήγησης εντός εφαρμογής θα μπορούσαν να προχωρήσουν στην ενημέρωση των εφαρμογών τους και να χρησιμοποιήσουν το νέο απομονωμένο σύστημα JavaScript WKContentWorld, έτσι ώστε ο κώδικάς τους να είναι μη ανιχνεύσιμος από εμάς».
Η Apple μέχρι σήμερα δεν έχει απαντήσει στο αίτημα της ιστοσελίδας Gizmodo για να τοποθετηθεί στους ισχυρισμούς του ερευνητή. Επίσης δεν απάντησε στο ερώτημα αν θα άλλαζε κάποια από τις λειτουργίες του iOS για να περιορίσει τις εφαρμογές από το να συμπεριλαμβάνουν τεχνικές keylogging ή αν θα λάβει μέτρα για να σταματήσει τις εφαρμογές από το να χρησιμοποιούν τέτοιο κώδικα.
Πηγή: insomnia.gr