به گفته محقق امنیتی معروف فلیکس کراوس، مرورگر درون برنامهای سفارشی اپلیکیشن تیک تاک در iOS گزارش شده است که کد جاوا اسکریپت را به وب سایتهای خارجی منتقل میکند که به تیک تاک اجازه میدهد «همه ورودیها و ضربههای صفحه کلید» را در زمانی که کاربر در حال تعامل با یک وب سایت خاص است، نظارت کند. اما طبق گزارشها تیک تاک این موضوع را رد کرده است که این کد به دلایل مخرب استفاده میشود.
کراوس گفته که مرورگر درون برنامه تیک تاک در تمام ورودیهای صفحه کلید، همراه با هر ضربه روی صفحه در حالی که کاربر با یک وب سایت خارجی تعامل دارد، تقریبا در هرگونه اطلاعات از جمله جزئیات حساس مانند رمز عبور، اطلاعات کارت اعتباری و غیره مشترک میشود. او در رابطه با کد جاوا اسکریپتی که تیک تاک منتقل میکند، نوشته: « از دیدگاه فنی، این معادل نصب کی لاگر در وب سایتهای شخص ثالث است؛ با این حال این محقق اضافه کرده که فقط به این دلیل که یک برنامه کدهای جاوا اسکریپت را به وب سایتهای خارجی منتقل میکند، نمیتوان گفت که به این معنی است که قطعا کار مخربی انجام میدهد».
سخنگوی تیک تاک در بیانیهای که با مجله فوربس به اشتراک گذاشته، انتقال کد جاوا اسکریپت مورد بحث را تایید کرده، اما گفته که این کد فقط برای اشکال زدایی، عیب یابی و نظارت بر عملکرد برنامه استفاده میشود تا از تجربه بهینه کاربر اطمینان حاصل شود. مانند سایر پلتفرمها، ما از یک مرورگر درون برنامهای برای ارائه یک تجربه کاربری بهتر استفاده میکنیم، اما کد جاوا اسکریپت مورد بحث فقط برای اشکال زدایی و نظارت بر عملکرد تجربه کاربر، مانند بررسی سرعت بارگیری صفحه یا خرابی استفاده می شود.
کراوس گفته کاربرانی که میخواهند از خود در برابر هرگونه استفاده مخرب احتمالی در مرورگرهای درون برنامهای محافظت کنند، باید در صورت امکان به مشاهده پیوند داده شده در مرورگر پیش فرض پلتفرم، مانند سافاری در آیفون و آیپد روی آورند. او گفته: «هرگاه پیوندی را از هر برنامهای باز میکنید، ببینید آیا برنامه راهی برای باز کردن وب سایت نشان داده شده در حال حاضر در مرورگر پیش فرض شما ارائه میکند یا خیر. بنابراین اگر آن برنامه راهی را برای انجام آن در نظر گرفته بود، نشان دهنده این است که به احتمال زیاد قصد خرابکاری ندارد».
به گفته این محقق امنیتی، فیسبوک و اینستاگرام هم دو برنامه دیگر هستند که کد جاوا اسکریپت را در وب سایتهای خارجی بارگذاری شده در مرورگرهای درون برنامهایشان وارد میکنند و به برنامهها توانایی ردیابی فعالیت کاربر را میدهند. سخنگوی متا، شرکت مادر اینستاگرام و فیسبوک، در توییتی گفته که این شرکت از روی عمد این کد را برای احترام به انتخاب مردم در ویژگی App Tracking Transparency (که اپل آن را در iOS 14 معرفی کرد) در پلتفرمهایش ایجاد کرده است.
کراوس گفته که او ابزار سادهای ایجاد کرده است که به هرکسی اجازه میدهد بررسی کند که آیا یک مرورگر درون برنامهای، کد جاوا اسکریپت را هنگام ارائه یک وب سایت منتقل میکند یا خیر. این محقق خاطر نشان کرده که کاربران به راحتی تنها باید برنامهای را که میخواهند آنالیز کنند باز کنند، آدرس InAppBrowser.com را در جایی در داخل برنامه مثلا در یک پیام به شخصی دیگر به اشتراک بگذارند، روی پیوند داخل برنامه ضربه بزنند تا آن را در داخل برنامه باز کنند.
لازم به ذکر است که تا زمان نوشتن این مطلب، اپل هنوز اظهار نظری در مورد این موضوع نکرده است، اما مانند همیشه اگر اپل عکسالعملی در این خصوص نشان دهد، بلافاصله آن را در جی اس ام برای شما عزیزان منتشر خواهیم کرد.
آیا شما از استفاده کنندگان از اپلیکیشن تیک تاک هستید؟ اگر جوابتان مثبت است، این مطلب چه تاثیری روی استفاده شما از این برنامه خواهد داشت؟