Penelitian Ungkap, TikTok Mampu Lacak Link yang Anda Klik dan Aktivitas Lain di Browser

JAKARTA - TikTok memiliki kemampuan untuk melacak setiap ketukan layar Anda saat Anda menjelajah di aplikasi iOS-nya. Ini  termasuk kata sandi yang diketik dan tautan yang diklik. Hal ini dilaporkan sebuah  penelitian  oleh insinyur perangkat lunak, Felix Krause.

Penjelajahan dalam aplikasi mengacu pada aktivitas apa pun di situs pihak ketiga yang terbuka di aplikasi, bukan di jendela eksternal.

Pada  Kamis, 25 Agustus, Krause merilis laporan yang memeriksa kode JavaScript yang disuntikkan platform media sosial ke situs pihak ketiga yang memungkinkannya melacak aktivitas pengguna.

Alat keamanan Krause, InAppBrowser.com, mengungkapkan aplikasi TikTok iOS memiliki kemampuan untuk memantau semua penekanan tombol, input teks, dan ketukan layar, yang dapat mencakup data pribadi sensitif seperti informasi kartu kredit dan kata sandi.

Krause mencatat, bahwa “hanya karena sebuah aplikasi menyuntikkan JavaScript ke situs web eksternal, tidak berarti aplikasi tersebut melakukan sesuatu yang berbahaya”.

“Tidak ada cara bagi kami untuk mengetahui detail lengkap tentang jenis data yang dikumpulkan oleh setiap browser dalam aplikasi, atau bagaimana, atau jika  data tersebut ditransfer atau digunakan,” kata Krause seperti dikutip The Guardian.

Priyadarsi Nanda dari Fakultas Teknik Elektro dan Data Universitas Teknologi Sydney mengatakan pengumpulan informasi tentang penekanan tombol sangat mirip dengan perilaku keylogger, sejenis malware.

“Situs web mana pun yang Anda kunjungi, itu membutuhkan masukan Anda,” katanya. "Ini jelas merupakan masalah untuk aplikasi apa pun yang tidak Anda percayai."

Seorang juru bicara TikTok mengatakan kepada Guardian Australia bahwa "kesimpulan laporan tentang TikTok tidak benar dan menyesatkan".

“Peneliti secara khusus mengatakan kode JavaScript tidak berarti aplikasi kami melakukan sesuatu yang berbahaya, dan mengakui bahwa mereka tidak memiliki cara untuk mengetahui jenis data yang dikumpulkan oleh browser dalam aplikasi kami,” kata juru bicara tersebut.

“Bertentangan dengan klaim laporan, kami tidak mengumpulkan keystroke atau input teks melalui kode ini, yang hanya digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja,” tambah sang juru bicara.

Selain TikTok, Krause juga mereview aplikasi iOS seperti Instagram, Facebook, Facebook Messenger, Amazon, Snapchat, dan Robinhood. TikTok adalah satu-satunya aplikasi yang ditemukan tidak menawarkan kepada pengguna opsi untuk beralih dari penjelajahan dalam aplikasi ke browser eksternal saat mengakses situs pihak ketiga.

“TikTok memiliki kemampuan pengawasan paling luas,” kata Uri Gal, profesor sistem informasi bisnis di University of Sydney.

“Banyak orang yang menggunakan aplikasi tidak menyadari pengawasan yang dilakukan terhadap mereka di dalamnya. Basis pengguna TikTok jauh lebih muda daripada Facebook dan Instagram, yang membuat mereka jauh lebih rentan,” ucap Gal.

Gal mengatakan TikTok “menghadirkan jenis risiko yang berbeda” karena dugaan hubungan perusahaan induk ByteDance dengan Partai Komunis China.

“Fungsi pengawasan dapat digunakan untuk mengumpulkan informasi sebanyak mungkin untuk tujuan spionase industri, dan membentuk opini publik yang lebih ke arah kepentingan mereka,” katanya.

Sebuah laporan yang dirilis oleh perusahaan keamanan siber Australia-AS Internet 2.0 pada bulan Juli memperingatkan bahwa pemerintah China dapat menggunakan aplikasi tersebut untuk mengumpulkan informasi pribadi, dari pesan dalam aplikasi hingga lokasi perangkat.

ByteDance telah membantah hubungannya dengan pemerintah China di masa lalu dan menyebut klaim tersebut sebagai “informasi yang salah” setelah berbagai kebocoran menyarankan untuk menyensor materi yang tidak selaras dengan tujuan kebijakan luar negeri China atau menyebutkan catatan hak asasi manusia negara tersebut.

Penelitian Krause menemukan Instagram juga memiliki kemampuan untuk melacak ketukan layar, seperti ketika pengguna mengklik gambar.

“Ada masalah privasi dan integritas data saat Anda menggunakan browser dalam aplikasi, seperti bagaimana Instagram dan TikTok menampilkan semua situs web eksternal di dalam aplikasi mereka,” tulis Krause dalam laporan tersebut. Meta menyuntikkan kode ke situs web untuk melacak penggunanya, kata penelitian itu.

Gal mengatakan praktik Instagram dan Facebook hampir sama luasnya dengan TikTok.

“Motivasi utama mereka hampir murni komersial dan finansial, sedangkan dengan TikTok, ada elemen keamanan nasional yang menurut saya tidak ada secara langsung dengan yang lain,” ungkap Gal.

Seorang juru bicara perusahaan induk Instagram, Meta, mengatakan "peramban web dalam aplikasi adalah umum di seluruh industri".

“Di Meta, kami menggunakan browser dalam aplikasi untuk memungkinkan pengalaman yang aman, nyaman, dan andal, seperti memastikan pengisian otomatis terisi dengan benar atau mencegah orang dialihkan ke situs jahat,” kata juru bicara tersebut.

“Menambahkan semua jenis fitur ini memerlukan kode tambahan. Kami telah merancang pengalaman ini dengan cermat untuk menghormati pilihan privasi pengguna, termasuk bagaimana data dapat digunakan untuk iklan,” tutur jubir Meta.

Dalam sebuah pernyataan dari TikTok, yang termasuk dalam laporan Krause, juru bicara Maureen Shanahan mengatakan: “Seperti platform lain, kami menggunakan browser dalam aplikasi untuk memberikan pengalaman pengguna yang optimal, seperti memeriksa seberapa cepat halaman dimuat atau apakah itu macet.”

Nanda mengatakan platform media sosial tidak mengungkapkan berapa banyak data pribadi yang tersisa di perusahaan atau apakah itu dibagikan dengan pihak ketiga.

“Mereka dapat menyampaikan informasi itu kepada penyedia layanan pihak ketiga, yang berperan penting dalam meluncurkan serangan canggih dalam bentuk apa pun,” kata Nanda, menunjuk peretasan yang mencuri data seperti informasi kartu kredit, dan serangan malware yang membekukan komputer atau mengunci file. “Itulah risiko yang sebenarnya,” ungkapnya.