Browser TikTok ditemukan di dalam aplikasi untuk merekam penekanan tombol Anda

Omong kosong apa ini?! Felix Krause, peneliti perangkat lunak dan pendiri Fastlane, baru-baru ini melaporkan tentang aplikasi sosial populer TikTok. Krause mengklaim bahwa kode JavaScript yang disematkan di browser dalam aplikasi saat ini digunakan untuk melacak penekanan tombol, klik layar, teks yang disalin, dll. Krause menganggap ini sebagai masalah keamanan utama. TikTok mengklaim bahwa kode ini hanya untuk tujuan debugging, dan sama sekali tidak digunakan untuk melacak atau merekam informasi pengguna saat menggunakan aplikasi.

TikTok secara luas dilihat sebagai salah satu aplikasi seluler paling populer saat ini, terutama di kalangan anak muda. Dengan 2,6 miliar unduhan sejak diluncurkan pada 2016, dan klaim TikTok hingga 1 miliar pengguna global aktif, pernyataan ini tentu membawa bobotnya.

TikTok memiliki masalah keamanan yang adil di masa lalu, bahkan Komisaris FCC Brendan Carr meminta Apple dan Google untuk menghapusnya dari toko aplikasi mereka. Baru-baru ini, kekhawatiran ini semakin terungkap dengan laporan Felix Krause, peneliti perangkat lunak terkenal dan pendiri Fastlane.

Krause menyatakan bahwa TikTok memiliki kode JavaScript yang dibangun ke dalam browser dalam aplikasi, yang digunakan ketika pengguna mengklik tautan saat menggulir aplikasi. Dia menunjukkan bahwa kode yang disematkan di browser tidak menjadi perhatian, karena hampir semua aplikasi dengan browser bawaan memiliki jenis kode ini, termasuk Facebook, Instagram, dan Snapchat. Di mana perhatiannya terletak pada apa yang ingin dilakukan oleh kode JavaScript saat pengguna berinteraksi dengan browser.

Krause mengungkapkan bahwa kode tersebut melacak lokasi klik layar, dan teks yang disalin pengguna saat berada di browser. Tetapi yang lebih penting, kode melacak setiap penekanan tombol yang dilakukan seseorang selama mereka berada di dalam browser. Krause mencatat bahwa dua poin pertama hampir tidak relevan. Beberapa aplikasi juga melacak ketukan layar dan teks yang disalin. Namun, TikTok adalah satu-satunya aplikasi selama pengujian kami yang merekam penekanan tombol dengan cara apa pun. Krause menegaskan bahwa ini tidak diragukan lagi merupakan masalah keamanan utama bagi pengguna.

TikTok dengan cepat mencoba membantah laporan Krause, bersikeras bahwa kode JavaScript yang berisi keylogging dan data klik di layar dan secara ketat mencatat tautan yang disalin dari pengguna digunakan untuk debug.

Perusahaan juga mencatat bahwa kode tersebut termasuk dalam “kit pengembangan perangkat lunak pihak ketiga,” juga dikenal sebagai SDK, dan bahwa masalah keamanan dalam kode tidak digunakan atau dipantau oleh TikTok. Namun saat ditanya mengenai hal tersebut, TikTok tidak menjawab pertanyaan seputar SDK atau siapa yang secara spesifik membuatnya.

Munculnya TikTok membawa kontroversi besar. Sejak awal, ada kekhawatiran tentang perusahaan induk TikTok yang terkait erat dengan pemerintah China. Surat komisaris FCC yang mengklaim bahwa aplikasi digunakan untuk menyediakan pemantauan dan mengekstrak data dari pengguna adalah yang terakhir dari beberapa panggilan untuk berhenti menggunakan aplikasi.

Hasil Krause hanya menambahkan alasan lain untuk berhenti menggunakan TikTok. Tetapi apakah pengguna dan pembuat konten akan peduli? Masalah keamanan mungkin melebihi nilai hiburan yang diberikan TikTok kepada sebagian orang, tetapi kami akhirnya memverifikasi bahwa pendapatan iklan TikTok diperkirakan akan mencapai $11 miliar, lebih banyak dari gabungan Twitter dan Snapchat.