El reloj sigue corriendo. Parece que todos los días nos enteramos de otra forma en que las aplicaciones populares de redes sociales recopilan información sobre sus usuarios. Ahora, las acusaciones de que TikTok está registrando las teclas de los usuarios a través de un código incrustado en el navegador de la aplicación tienen a la empresa visiblemente nerviosa.
El investigador de seguridad Felix Krause señaló en una publicación de blog el jueves que varias aplicaciones están realizando cambios en las páginas web con JavaScript, pero esa aplicación particularmente conocida parece ser la más preocupante. Según el artículo de Krause, el código enterrado en lo profundo de TikTok podría usarse para revelar todas las entradas del teclado y las pulsaciones (también conocido como registro de teclas).
TikTok ya no ofrece a los usuarios la opción de usar el navegador predeterminado de su dispositivo al hacer clic en los enlaces. El investigador dijo que en los dispositivos iOS, TikTok tiene la capacidad de controlar páginas y usar código JavaScript para obtener metadatos, lo que en sí mismo ya no es muy importante porque no hace mucho para cuantificar la actividad del usuario. Krause, sin embargo, usó una herramienta que creó para encontrar código JavaScript adicional con capacidad de registro. Este código se había estado ocultando previamente en el código. Por lo tanto, el código de registro de teclas tiene el potencial de registrar contraseñas o incluso información de tarjetas de ahorro cuando hace clic en un enlace dentro de la aplicación social. Siempre que esté utilizando el navegador integrado de la aplicación, puede controlar los sitios web que visita y los mensajes que envía a sus amigos.
Krause recomienda que haga su tarea, por lo que relaciona el código específico que encontró relacionado con el registro de teclas. Cada vez que presiona o suelta una tecla, suena una nota musical. Los eventos de descarga ocurren cuando te mueves de una página a otra, y la aplicación es consciente de esta transición.
TikTok les ha dicho a los periodistas que "no lo usen" si quieren evitar tener que depurar y solucionar problemas en el código de la aplicación. En una declaración enviada a Gizmodo, un portavoz de TikTok dijo: “Las conclusiones del informe sobre TikTok son incorrectas y engañosas. Según este investigador, el código JavaScript de nuestra aplicación ya no sugiere que no sea bueno, y admiten que no tienen idea de qué tipo de registros recopila nuestro navegador en la aplicación. "Este código se utiliza únicamente para la depuración, la resolución de problemas y la supervisión general del rendimiento, al contrario de lo que se afirma en el informe".
Por ejemplo, el profesor de medios digitales y publicidad de la Universidad Carnegie Mellon, Ari Lightman, le dijo a Gizmodo en una entrevista telefónica que no cree completamente en las afirmaciones que TikTok está promoviendo sobre el código JavaScript que utiliza. A pesar de que las motivaciones principales de este código son la seguridad y la usabilidad mejorada, las empresas de redes sociales generan una parte significativa de sus ingresos (si no la gran mayoría) de la publicidad, y los datos de los usuarios son un componente clave de eso.
Lightman comentó que "no te eligen para bajar de la plataforma" era un tema recurrente. Los usuarios a menudo se pierden, lo que dificulta que TikTok recopile datos con fines de monetización. La empresa gana dinero aprendiendo más sobre las preferencias y hábitos de sus usuarios.
Las empresas afirman que no acceden de forma remota al código JavaScript porque es parte de un kit de desarrollo de software (SDK). Según la compañía, el código de registro de teclas es parte del SDK que fue creado por una parte 0.33, pero ya no se usa activamente en el conjunto de herramientas de monitoreo de usuarios de la compañía.
Y han ido tan lejos como para afirmar que enviar a los usuarios a navegadores distintos a los integrados en su aplicación sería una mala experiencia para todos los involucrados. Este es, por supuesto, un argumento condescendiente que pasa por alto el hecho de que cualquier persona con acceso a un dispositivo móvil puede optar por descargar el navegador que prefiera.
Aunque Lightman ha expresado previamente su escepticismo sobre esta línea de pensamiento en nombre de TikTok. "muy hábil en la creación de modelos de estudio de escritorio" describe empresas como TikTok de ByteDance. La idea de que TikTok simplemente dejaría este código allí, excepto por su uso, "es difícil de aceptar", ya que tales cosas (como el SDK de la compañía) se someten a pruebas, análisis y escrutinios exhaustivos.
Krause dijo que su búsqueda no puede decir si TikTok u otras compañías están usando activamente ese código JavaScript para rastrear a los usuarios, pero el hecho de que exista en primer lugar pone más responsabilidad en las compañías que ya han demostrado que no son confiables. con datos de usuario. El autor del estudio había discutido previamente el uso del código JavaScript dentro de las plataformas de redes sociales como Instagram y Facebook como un medio para monitorear casi toda la actividad del usuario cuando accede a Internet a través de los navegadores web integrados de las aplicaciones. Dijo que el código puede mostrar todas las interacciones, las opciones de contenido textual y los clics, incluso al hacer clic en los anuncios. En esta última revisión, el investigador también descubrió que Instagram para iOS se suscribe a cada pulsación de botón y enlace que se muestra dentro de la aplicación. Incluso puede detectar cuando resalta un cuadro de texto en un sitio web diferente.
En un anuncio de tweet la semana pasada, el portavoz de Meta, Andy Stone, escribió que las afirmaciones del investigador "tergiversan” cómo funcionan los navegadores integrados en la aplicación de Meta
Krause también señaló que estas aplicaciones pueden ocultar su JavaScript utilizando herramientas iOS preexistentes, en particular un código WKContentWorld, lo que dificulta que los sitios web inyecten JavaScript. Los investigadores y sus sitios web podrían ser engañados con relativa facilidad si alguno de estos grupos quisiera ocultarles sus actividades de juego.
Krause predijo que "las empresas de tecnología que aún usan navegadores personalizados en la aplicación se actualizarán muy pronto para usar el nuevo sistema JavaScript remoto WKContentWorld, por lo que su código será indetectable para nosotros" en una publicación de blog.
Gizmodo le pidió a Apple que comentara si planea o no intercambiar alguna característica de iOS para evitar que las aplicaciones incluyan secuencias de comandos de registro de teclas o evitar que las aplicaciones oculten la realidad de que estaban ejecutando dicho código. Apple no respondió de inmediato a esta solicitud.
Cuando los informes afirmaron que el personal de TikTok sabía que los funcionarios del gobierno chino solían recopilar estadísticas de EE. UU., la plataforma para compartir videos recibió mucha presión de los defensores de la privacidad en Internet y los legisladores de ambos lados del pasillo (aunque, como era de esperar , por razones inusuales). Según un nuevo informe de Gizmodo basado en archivos internos, TikTok ha estado dedicando más tiempo a ocultar su nueva reputación como la empresa que vende datos de usuarios a las enormes fauces de recolección de datos de Beijing. Algunos dudan de que los legisladores del Capitolio puedan aprobar una ley importante de privacidad de datos antes de que se acerquen los plazos.
Lightman predijo que "la regulación de la privacidad y las reglas de auditoría adicionales para confirmar esto" se implementarán en un futuro próximo. Dentro de un marco probado y verdadero, "si lo hacen por dinero, tienen que especificar que si lo hacen por la experiencia del consumidor, eso también es de alta calidad. Un ser humano dirá "espera un minuto". .." si no eres claro con tu razonamiento. No debes mantener tus intenciones en secreto.
Entradas
No hay comentarios.:
Publicar un comentario