– Åpne lenker utenfor TikTok

Appen overvåker tastetrykk, ifølge sikkerhetsanalytiker.

Finn Jarle Kvalheim

Lagre artikkel

Mange apper har innebygget nettleser som de åpner lenker i. Det gjelder for eksempel Facebook og Instagram, men også videotjenesten TikTok. Nå sier sikkerhetsanalytikeren Felix Krause at TikToks nettleser på iPhone aktivt kan logge tastetrykk som gjøres i nettleseren.

– Vi kan ikke vite hva TikTok bruker informasjonen til, men fra et teknisk perspektiv er dette det samme som å ha en keylogger i nettleseren sin, skriver Krause på sitt eget nettsted.

Formålet til slike keyloggere kan for eksempel være å fange opp passord eller kredittkortinformasjon når du taster dem inn i nettleseren, men i en Forbes-artikkel slår tjenesten tilbake, og sier de bare bruker funksjonen til å passe på ytelsen og at ting fungerer som de skal.

Krause selv sier at denne funksjonen er aktivt utviklet for å virke som den gjør.

– Dette er ikke en triviell utviklingsoppgave, og den skjer ikke ved en tilfeldighet eller ved en feil, forklarer han.

TikTok bekrefter også at løsningen finnes, men altså bare at den brukes til feilsøking og at den stammer fra et verktøysett utviklet av en tredjepart.

Informasjonen som har kommet frem stammer fra Krauses sikkerhetsprosjekt, InAppBrowser.com, et nettsted som kan overvåke og vise hva slags ekstra kode som kjøres av nettleseren du åpner en nettside i. Og selv om siden altså er i stand til å vise TikToks potensial til å fange opp passord og annet du måtte taste inn, er den ikke i stand til å vise om TikTok faktisk benytter seg av muligheten.

Krause har fra før brukt tjenesten sin til å overvåke hva andre tjenester, så som Facebook og Instagram gjør. Der har han kommet frem til at de, som TikTok, er i stand til å overvåke alle trykk inni sin egen nettleser.

Meta, tidligere Facebook, har i den sammenheng sagt at de bruker sine nettlesertilpasninger til å unngå at brukeren havner på farlige nettsteder, og til rent praktiske ting som å hjelpe med at internettskjema fylles på riktig måte. De har ikke kommentert konkret hva muligheten for berøringsovervåking brukes til.

– De fleste apper har en måte å åpne lenker i ekstern nettleser på. Hvis ikke kan du kopiere lenken fra appen og åpne den manuelt i en annen nettleser, foreslår Krause.

Men han kommenterer også at TikTok ikke har en knapp som lar deg åpne innholdet utenfor selve tjenesten, slik for eksempel Facebook og Instagram har.

Det er imidlertid nokså sjelden TikToks nettleser brukes, siden tjenesten ikke uten videre tillater lenker i alle videoposter. Det er i hovedsak lenker fra profiler og lenker fra reklamer som åpnes i den.

Men skulle du for eksempel være fristet til å logge inn på en brukerkonto eller kjøpe noe med kredittkortinformasjonen din via en TikTok-reklame, kan det være greit å vite at det er bygget inn en mulighet for å samle tastetrykk i appen.

Datasankingen til sosiale medier har vært under et hardt søkelys de siste årene. Facebooks, nå Metas, praksis har gjentatte ganger blitt utsatt for kritikk. Og kjempelekkasjen av brukerdata i forbindelse med Cambridge Analytica-saken fikk så stor oppmerksomhet at Mark Zuckerberg måtte vitne foran senatet om hva som faktisk hadde foregått. Det antas at datalekkasjen har vært sentral i utfallet av amerikanske valg, og muligens også den britiske Brexit-avstemningen.

TikTok på sin side har vært under press for sitt kinesiske opphav, datamengdene tjenesten samler og at disse dataene etter sigende blir overvåket fra Kina. Sjefen for FCC, Federal Communications Commission, i USA har krevd appen fjernet fra Googles og Apples appbutikker og omtalt den som kinesisk spionvare.

Les også

Avis: TikTok sporet brukere ulovlig

13. aug. 2020

I Krauses undersøkelse av appenes nettlesere var det Snapchat som tilsynelatende var snillest. Der kunne han ikke oppdage at appen introduserte noe som helst ny kode.

Men analytikeren er også tydelig på at hans verktøy ikke er i stand til å oppdage all kode som kjøres ved siden av. Det er Javascript-kode som snakker med den som allerede finnes på nettstedet hans verktøy kan avsløre, mens det kan skje andre ting som er vanskeligere å oppdage. Hans verktøy kan dessuten ikke si noe om hva den eventuelt innsamlede informasjonen brukes til.