調査によると、TikTokはブラウザでクリックしたリンクやその他のアクティビティを追跡できます
ジャカルタ - TikTokには、iOSアプリを閲覧するときに画面のすべてのタップを追跡する機能があります。これには 、入力されたパスワードとクリックされたリンクが含まれます。ソフトウェアエンジニアの Felix Krauseによる研究 が報告されています。
アプリ内閲覧とは、外部ウィンドウではなく、アプリで開くサードパーティのサイト上のアクティビティを指します。
8月25日木曜日 、クラウゼは、ソーシャルメディアプラットフォームがユーザーのアクティビティを追跡できるサードパーティのサイトに挿入するJavaScriptコードを調べるレポートを発表しました。
Krauseのセキュリティツールである InAppBrowser.com は、TikTok iOSアプリには、クレジットカード情報やパスワードなどの機密個人データを含む可能性のあるすべてのキーストローク、テキスト入力、画面タップを監視する機能があることを明らかにしました。
Krause氏は、「アプリケーションがJavaScriptを外部Webサイトに挿入したからといって、悪意のあることをしているわけではない」と指摘した。
「アプリケーション内の各ブラウザによって収集されたデータの種類、またはそのデータが転送または使用される方法、または使用されているかどうかについて 、完全な詳細を知る方法はありません」とクラウゼはガーディアン紙によって語ったと引用されました。
シドニー工科大学電気データ工学部のPriyadarsi Nanda氏は、キーストロークに関する情報の収集は、マルウェアの一種であるキーロガーの動作と非常によく似ていると述べた。
「どのウェブサイトを訪問しても、あなたの意見が必要です」と彼は言いました。「これは間違いなく、信頼できないアプリケーションにとって問題です。
TikTokの広報担当者はガーディアン・オーストラリアに、「TikTokに関する報道の結論は真実ではなく、誤解を招く」と語った。
「研究者は特に、JavaScriptコードは私たちのアプリが悪意のあることをしていることを意味するものではなく、ブラウザが私たちのアプリケーションでどのような種類のデータを収集しているかを知る方法がないことを認めています」と広報担当者は言いました。
「レポートの主張に反して、このコードを通じてキーストロークやテキスト入力を収集しておらず、デバッグ、トラブルシューティング、パフォーマンス監視にのみ使用されます」と広報担当者は付け加えました。
TikTokに加えて、KrauseはInstagram、Facebook、Facebook Messenger、Amazon、Snapchat、RobinhoodなどのiOSアプリもレビューしている。TikTokは、サードパーティのサイトにアクセスするときにアプリ内ブラウジングから外部ブラウザに切り替えるオプションをユーザーに提供していない唯一のアプリです。
「TikTokは最も広範な監視機能を備えています」とシドニー大学のビジネス情報システムの教授であるUri Gal氏は述べています。
「このアプリを使用する多くの人々は、アプリ内で自分に行われている監視に気づいていません。TikTokのユーザーベースはFacebookやInstagramよりもはるかに若く、それが彼らをはるかに脆弱にしている」とGal氏は述べた。
Gal氏は、TikTokはByteDanceの親会社とされる中国共産党との関係のために「異なる種類のリスクを提示する」と述べた。
「監督機能は、産業スパイ活動のためにできるだけ多くの情報を収集し、世論を彼らの利益に向けてより形成するために使用することができます」と彼は言いました。
オーストラリアと米国のサイバーセキュリティ企業Internet 2.0が7月に発表したレポートでは、中国政府がアプリを使用して、アプリ内メッセージからデバイスの場所まで、個人情報を収集する可能性があると警告しています。
ByteDanceは過去に中国政府との関係を否定し、さまざまなリークが中国の外交政策目標と一致していない資料を検閲したり、中国の人権記録を引用したりすることを示唆した後、この主張を「誤報」と呼んだ。
クラウゼの調査によると、Instagramには、ユーザーが画像をクリックしたときなど、画面タップを追跡する機能もあります。
「InstagramやTikTokがアプリ内のすべての外部ウェブサイトをどのように表示するかなど、アプリ内ブラウザを使用するとプライバシーとデータの整合性の問題があります」とKrause氏はレポートに書いています。メタはウェブサイトにコードを挿入してユーザーを追跡すると、この研究は述べています。
Gal氏は、InstagramとFacebookの慣行はTikTokとほぼ同じくらい普及していると述べた。
「彼らの主な動機は、ほとんど純粋に商業的、財政的なものだが、TikTokには、国家安全保障の要素があり、それは他人と直接存在するとは思わない」とガルは語った。
Instagramの親会社であるMetaの広報担当者は、「アプリ内Webブラウザは業界全体で共通している」と述べた。
「Metaでは、アプリ内ブラウザを使用して、自動入力が正しく満たされるようにしたり、悪意のあるサイトにリダイレクトされたりするのを防ぐなど、安全で便利で信頼性の高いエクスペリエンスを実現します」と広報担当者は述べています。
「これらすべてのタイプの機能を追加するには、追加のコードが必要です。私たちは、データを広告に使用する方法など、ユーザーのプライバシーの選択を尊重するようにこのエクスペリエンスを慎重に設計しました」とMetaの広報担当者は述べています。
クラウゼのレポートに盛り込まれたTikTokの声明で、広報担当のモーリーン・シャナハン氏は「他のプラットフォームと同様に、アプリ内ブラウザを使用して、ページの読み込み速度やクラッシュの確認など、最適なユーザーエクスペリエンスを提供している」と述べた。
ナンダ氏は、ソーシャルメディアプラットフォームは、同社にどれだけの個人データが残っていたか、またはそれが第三者と共有されたかどうかを開示していないと述べた。
「彼らはその情報をサードパーティのサービスプロバイダーに渡すことができ、あらゆる種類の高度な攻撃を開始するのに役立っています」とナンダ氏は述べ、クレジットカード情報などのデータを盗むハッキングや、コンピュータを凍結したりファイルをロックしたりするマルウェア攻撃を指摘しました。「それが本当のリスクだ」と彼は言った。