TikTok, Facebook a Instagram obsahují skrytý kód, který umí sledovat vaši aktivitu

Přibližně před měsícem internetem kolovala zpráva, v níž šéf americké Federální komise pro komunikaci vyzval zástupce Applu a Googlu, aby ze svých obchodů odstranili sociální síť TikTok. Důvodem pro to byla celá řada bezpečnostních nedostatků, v jejichž důsledku lze sledovat uživatele. Podle něj má aplikace sbírat kupříkladu historii vyhledávání, otisky obličeje, samply hlasu či dokonce vzorce psaní na klávesnici a data uložená ve schránce.

zlodej thief hacker bezpecnost podvod
Firmy mohou skrze integrované prohlížeče sledovat veškerou vaší aktivitu

Nyní se k výzvám být zvýšeně obezřetný připojil také nezávislý bezpečnostní analytik Felix Krause, který objevil potenciálně škodlivý kód v iOS aplikaci nejen TikToku, ale také Facebooku či Instagramu. Ty do svých aplikací implantují kód, který umožňuje monitorovat všechny stisky klávesnice a dotyky obrazovky, což známe jako keylogging.

Tomuto riziku jsou uživatelé vystaveni ve chvíli, kdy v rámci aplikací kliknou na odkazy, které se otevřou v integrovaných webových prohlížečích. Ty využívají JavaScript pro potenciální sledování a nezastaví je ani to, že ty na iOS využívají WebKit ze Safari – vývojáři si totiž mohou přidávat vlastní kódy. Díky nim tak mohou sledovat veškerou aktivitu včetně zadávání citlivých údajů, jako jsou hesla nebo čísla platebních karet.

Na vině je vestavěný prohlížeč webových stránek

V případě Facebooku nebo Instagramu se tomuto sledování lze vyhnout, pokud odkaz otevřete v klasickém prohlížeči. V případě TikToku ale tuto možnost uživatelé nemají, a proto by se měli mít na pozoru, co skrze integrovaný prohlížeč zadávají. Na informace Krause zareagovala také společnost Meta, která uvedla, že zmíněný JavaScript byl do aplikací zahrnut s ohledem na soukromí uživatelů, přičemž jeho využívání mohou odmítnout.



aplikace tiktok



Nepřehlédněte

TikTok má problém. Americký úřad žádá jeho odstranění z App Store i Google Play

Také Krause připouští, že využívání JavaScriptu je běžnou praxí – nemusí se automaticky jednat o nekalou praktiku. Pokud ale přeci jen máte obavy, můžete využít jím vytvořenou stránku InAppBrowser.com a zkontrolovat si, zda vás aplikace špehuje, či nikoli. Nutno podotknout, že JavaScript může být natolik dobře implementován, že jej Krausovy stránky nerozpoznají. Nejlepší je pokud možno vždy otevírat odkazy v klasickém prohlížeči a nevyužívat ty integrované.

Autor článku
Dominik Vlasák
Redaktor, cestovatel, fanoušek technologií, Star Wars a dobré kávy.
image/svg+xml
+

Kapitoly článku