SOS: Mã độc trên TikTok sẽ ăn cắp mật khẩu của bạn!?

Theo nhà nghiên cứu bảo mật Felix Krause, trình duyệt trong ứng dụng tùy chỉnh của TikTok trên iOS đã đưa mã JavaScript vào các trang web cho phép ứng dụng này theo dõi tất cả các thao tác nhập và nhấn bàn phím. TikTok đã bác bỏ rằng mã không hề sử dụng cho các lý do độc hại.

TikTok đang kiểm soát người dùng quá đà?

Krause cho biết trình duyệt trong ứng dụng của TikTok đăng ký tất cả các đầu vào bàn phím trong khi người dùng tương tác với trang web bên ngoài, bao gồm mọi chi tiết nhạy cảm như mật khẩu và thông tin thẻ tín dụng cùng với mỗi lần nhấn trên màn hình.

Krause cho biết về mã JavaScript mà TikTok đưa vào: “Từ góc độ kỹ thuật, điều này tương đương với việc cài đặt keylogger trên các trang web của bên thứ ba. Tuy nhiên, nhà nghiên cứu nói thêm rằng chỉ vì một ứng dụng đưa JavaScript vào các trang web bên ngoài, không có nghĩa là ứng dụng đang làm bất cứ điều gì độc hại.

Trong một tuyên bố được chia sẻ với Forbes, người phát ngôn của TikTok đã thừa nhận mã JavaScript nhưng cho biết nó chỉ được sử dụng để gỡ lỗi, khắc phục sự cố và theo dõi hiệu suất nhằm đảm bảo trải nghiệm người dùng tối ưu.

"Giống như các nền tảng khác, chúng tôi sử dụng trình duyệt trong ứng dụng để cung cấp trải nghiệm người dùng tối ưu. Nhưng mã Javascript được đề cập chỉ được sử dụng để gỡ lỗi, khắc phục sự cố và theo dõi hiệu suất của trải nghiệm đó như kiểm tra tốc độ tải của một trang hoặc xem nó có bị treo không ".

Krause khuyến cáo những người dùng muốn tự bảo vệ mình khỏi bất kỳ việc sử dụng mã JavaScript độc hại tiềm ẩn nào trong các trình duyệt ứng dụng nên chuyển sang xem một liên kết nhất định trong trình duyệt mặc định, chẳng hạn như Safari của Apple.

Theo Krause: "Bất cứ khi nào bạn mở một liên kết từ bất kỳ ứng dụng nào, hãy xem ứng dụng có cung cấp cách mở trang web đang hiển thị trong trình duyệt mặc định của bạn hay không. Trong quá trình phân tích này, mọi ứng dụng ngoài TikTok đều cung cấp một cách để thực hiện điều này.”

Facebook và Instagram là hai ứng dụng khác chèn mã JavaScript vào các trang web trong trình duyệt ứng dụng, mang lại khả năng theo dõi hoạt động của người dùng. Trong một dòng tweet, người phát ngôn của Meta (công ty mẹ của Facebook và Instagram) cho biết công ty cố ý phát triển mã này để tôn trọng các lựa chọn về Tính minh bạch theo dõi ứng dụng (ATT) của mọi người trên nền tảng.

Krause cho biết anh đã tạo ra một công cụ đơn giản cho phép người dùng có thể kiểm tra xem trình duyệt trong ứng dụng có đang chèn mã JavaScript khi hiển thị một trang web hay không. Nhà nghiên cứu cho biết người dùng chỉ cần mở một ứng dụng họ muốn phân tích, chia sẻ địa chỉ InAppBrowser.com bên trong ứng dụng chẳng hạn như trong một tin nhắn trực tiếp cho người khác, nhấn vào liên kết bên trong ứng dụng để mở trong Ứng dụng trình duyệt.

Người phát ngôn của TikTok đã đưa ra tuyên bố  

Kết luận của báo cáo về TikTok là không chính xác và gây hiểu lầm. Nhà nghiên cứu đặc biệt nói rằng mã JavaScript không có nghĩa là ứng dụng đang làm bất cứ điều gì độc hại và thừa nhận rằng không có cách nào để biết loại dữ liệu mà trình duyệt trong ứng dụng thu thập. Trái ngược với tuyên bố của báo cáo, TikTok không thu thập thông tin gõ phím hoặc nhập văn bản thông qua mã này, mã này chỉ được sử dụng để gỡ lỗi, khắc phục sự cố và giám sát hiệu suất. 

Theo người phát ngôn của TikTok, mã JavaScript là một phần của bộ công cụ phát triển phần mềm (SDK) mà TikTok đang tận dụng và các chức năng nhấn phím mà Krause đề cập là các đầu vào phổ biến mà TikTok không sử dụng để ghi nhật ký bằng phím.

Thực tế, các fan công nghệ đang kỳ vọng vào Apple nhiều hơn trong việc cản bước các mã độc theo dõi người dùng của nền tảng ứng dụng này. Tính năng cấm app theo dõi (App Tracking Transparency) trên iOS 14.5 cho bạn quyền quyết định xem các ứng dụng có được phép theo vết bạn hay không. Bên cạnh đó, nếu bạn yêu thích và quan tâm các sản phẩm cao cấp nhà Táo khuyết có thể ghé thăm gian hàng iPhone 13 tại 24hStore. Liên hệ hotline 1900.0351 để được nhân viên tư vấn thông tin sản phẩm và nhận ưu đãi tối đa nhé.

Xem thêm: TikTok Shop là gì? Cách mở tài khoản bán hàng cực đơn giản