当心！TikTok的内置浏览器可以监控用户击键 能获取密码

8月20日，据《福布斯》8月18日报道，根据与福布斯分享的一项新研究，当TikTok用户通过应用程序上的链接进入网站时，TikTok会插入代码来监控他们在这些外部网站上的大部分活动，包括他们的击键和他们在页面上点击的任何内容。这些跟踪功能将使TikTok能够捕获用户的信用卡信息或密码。

TikTok有能力监控用户活动，因为它使用公司的应用程序内置浏览器对网站进行了修改，该浏览器是应用程序本身的一部分。当人们点击TikTok广告或访问创作者个人资料上的链接时，该应用无法使用Safari或Chrome等普通浏览器打开页面。相反，它默认为TikTok的内置浏览器，可以重写部分网页。

TikTok可以通过将编程语言JavaScript的代码注入应用程序内访问的网站来跟踪此活动，并创建新的命令来提醒TikTok公司人们在这些网站上所做的事情。

“这是公司做出的积极选择，”维也纳的软件研究员费利克斯·克劳斯（Felix Krause）说，他周四发表了一份关于他的发现的报告。“这是一项不平凡的工程任务，这不是错误或随机发生的。”克劳斯是Fastlane的创始人，这是一项用于测试和部署应用程序的服务，谷歌在五年前收购了该公司。

Tiktok强烈反驳了它在应用程序内浏览器中跟踪用户的说法。该公司证实这些功能存在于代码中，但表示TikTok没有使用它们（那为什么要特别设计这样的功能？）。

“与其他平台一样，我们使用应用内置浏览器来提供最佳用户体验，但所讨论的Javascript代码仅用于调试、故障排除和性能监控——例如检查页面加载速度或是否崩溃，”发言人莫琳·沙纳汉（Maureen Shanahan）在一份声明中说。

该公司表示，JavaScript代码是第三方软件开发工具包或SDK的一部分，SDK是一组用于构建或维护应用程序的工具。该公司表示，SDK包括应用程序不使用的功能。TikTok没有回答有关SDK或第三方制作的问题。

虽然克劳斯的研究显示，包括TikTok和Facebook母公司Meta在内的代码公司正在从其应用的内置浏览器注入代码，但研究并未表明这些公司实际上正在使用该代码来收集数据、将其发送到其服务器或与第三方。该工具也不会显示任何活动是否与用户的身份或个人资料相关联。尽管克劳斯能够确定应用程序可以跟踪的一些具体示例（例如TikTok监控击键的能力），但他表示他的清单并不详尽，公司可能会监控更多。

这项新研究是在上周克劳斯关于应用内置浏览器的一份报告之后进行的，该报告专门针对Meta拥有的应用程序Facebook、Instagram和Facebook Messenger。该公司还拥有的WhatsApp似乎很干净，因为它不使用内置浏览器。

克劳斯周四还发布了一个工具，让人们可以检查他们使用的浏览器是否将任何新代码注入网站，以及公司可能正在监控的活动。例如，要使用该工具检查Instagram的浏览器，请通过直接消息将链接InAppBrowser.com发送给朋友（或让朋友直接将链接发送给您）。如果您单击DM中的链接，该工具将为您提供该应用程序可能跟踪的内容的概要——尽管该工具使用了多个开发人员术语，并且对于非编码人员可能难以破译。

在他的新研究中，克劳斯测试了7款使用应用内置浏览器的iPhone应用：TikTok、Facebook、Facebook Messenger、Instagram、Snapchat、亚马逊和Robinhood。（他没有测试Google的移动操作系统Android的版本。）

他说，在克劳斯测试的七款应用程序中，TikTok是唯一一款似乎可以监控击键的应用程序，而且似乎比其他应用程序监控的活动更多。与TikTok一样，Instagram和Facebook都会跟踪网站上的每一次点击。这两个应用程序还监视人们何时在网站上突出显示文本。