Infografis
Suara.com - Browser dalam aplikasi khusus TikTok di iOS dilaporkan memasukkan kode JavaScript ke situs web eksternal yang memungkinkan TikTok memantau semua input dan apa pun yang diketikkan saat pengguna berinteraksi dengan situs web tertentu.
Temuan ini dilaporkan oleh peneliti keamanan Felix Krause, tetapi TikTok membantah kode tersebut digunakan untuk sesuatu yang buruk.
Krause mengatakan peramban dalam aplikasi TikTok memiliki akses ke semua input keyboard saat pengguna berinteraksi dengan situs web eksternal, termasuk detail sensitif seperti kata sandi dan informasi kartu kredit, lengkap dengan setiap ketukan di layar.
"Dari sudut pandang teknis, ini setara dengan memasang keylogger di situs web pihak ketiga. Namun, hanya karena aplikasi menyuntikkan JavaScript ke situs web eksternal, bukan berarti aplikasi tersebut melakukan sesuatu yang berbahaya," kata Krause, seperti dikutip dari MacRumors pada Jumat (19/8/2022).
Baca Juga: Nyesek! Bocah Ini Terpaksa Dikeluarkan Dari Barisan Gerak Jalan, Alasannya Seragam Kuning
Dalam sebuah pernyataan yang dibagikan kepada Forbes, juru bicara TikTok mengakui kode JavaScript yang dimaksud, tetapi menambahkan bahwa itu hanya digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja untuk memastikan pengalaman pengguna yang optimal.
Di sisi lain, Krause mengatakan pengguna yang ingin melindungi diri dari potensi penggunaan kode JavaScript yang berbahaya di browser dalam aplikasi harus beralih untuk melihat tautan yang diberikan di browser default platform, seperti Safari di iPhone dan iPad.
"Setiap kali pengguna membuka tautan dari aplikasi apa pun, lihat apakah aplikasi tersebut menawarkan cara untuk membuka situs web yang saat ini ditampilkan di browser defalut. Selama analisis ini, setiap aplikasi selain TikTok menawarkan cara tersebut," tambah Krause.
Facebook dan Instagram adalah dua aplikasi lain yang memasukkan kode JavaScript ke situs web eksternal yang dimuat di browser dalam aplikasi mereka, memberikan kemampuan untuk melacak aktivitas pengguna.
Dalam sebuah tweet, juru bicara Facebook dan Instagram Meta mengatakan bahwa perusahaan sengaja mengembangkan kode ini untuk menghormati pilihan Transparansi Pelacakan Aplikasi (ATT) di platform.
Baca Juga: Aplikasi Autoko Dikenalkan di GIIAS 2022, Jadi Asisten Digital Bagi Pemilik Mobil
Krause menambahkan ia membuat alat sederhana yang memungkinkan siapa saja untuk memeriksa apakah browser dalam aplikasi memasukkan kode JavaScript saat merender situs web.
Untuk melakukannya, pengguna hanya perlu membuka aplikasi yang ingin dianalisis, membagikan situs InAppBrowser.com di dalam aplikasi seperti pesan langsung, kemudian klik tautan di dalam aplikasi untuk membukanya di browser dalam aplikasi.
Dari sana, pengguna akan dapat melihat detail laporan yang ditampilkan.
