Felix Krause, nhà nghiên cứu bảo mật tại Fastlane cho biết TikTok có thể theo dõi mọi thao tác trên màn hình, kể cả ký tự gõ phím nếu sử dụng trình duyệt trong app. Đây là phát hiện tương tự chức năng trình duyệt trong ứng dụng của Facebook, Instagram mà Krause đã cảnh báo trước đó.
Với kẽ hở này, ứng dụng có thể kích hoạt mã JavaScript để thu thập những thông tin nhạy cảm như mật khẩu hay tài khoản ngân hàng. Khi người dùng nhấn vào quảng cáo, liên kết trong bài viết hay hồ sơ tài khoản, TikTok sẽ truy cập trang web bằng trình duyệt tích hợp thay vì chuyển sang Chrome hay Safari.
Theo Krause, trình duyệt trong TikTok bao gồm một số mã JavaScript, cho phép ứng dụng theo dõi hành động của người dùng trên trang web mà không cần sự đồng ý.
Tích hợp nhưng "không sử dụng"
"Đây là quyết định được công ty chủ động lựa chọn. Đó là kỹ thuật không hề đơn giản, và không thể xảy ra do nhầm lẫn hay vô tình... Chúng tôi không biết TikTok sử dụng kỹ thuật này làm gì, nhưng về mặt kỹ thuật, điều đó tương đương việc cài cắm keylogger (phần mềm theo dõi gõ phím) lên website bên thứ ba", Krause nhận xét.
Đoạn mã JavaScript trong trình duyệt tích hợp của TikTok có khả năng theo dõi người dùng. Ảnh: Felix Krause. |
Krause là nhà sáng lập Fastlane, dịch vụ thử nghiệm và triển khai ứng dụng được Google mua lại năm 2017.
Đại diện TikTok phản đối kịch liệt cáo buộc sử dụng trình duyệt tích hợp để theo dõi người dùng. Công ty xác nhận tính năng theo dõi tồn tại trong mã nhưng không sử dụng.
"Tương tự những nền tảng khác, chúng tôi sử dụng trình duyệt trong app để mang đến trải nghiệm tối ưu. Các mã JavaScript được đề cập chỉ dùng để tìm lỗi, khắc phục sự cố và theo dõi hiệu quả trải nghiệm, ví dụ như kiểm tra xem trang web tải nhanh đến đâu, có bị treo hay không", Maureen Shanahan, đại diện của TikTok cho biết.
Theo TikTok, mã JavaScript nằm trong bộ công cụ phát triển phần mềm (SDK) của bên thứ ba, dùng để xây dựng và duy trì ứng dụng. Công ty cho biết bộ SDK chứa một số tính năng mà app không dùng đến, từ chối tiết lộ tên công ty phát triển công cụ.
Nghiên cứu của Krause chỉ cho thấy sự tồn tại của đoạn mã theo dõi người dùng trong TikTok, không khẳng định ứng dụng đang thu thập, gửi dữ liệu về máy chủ hoặc chia sẻ cho bên thứ ba. Dù vậy, một ứng dụng ngẫu nhiên với trình duyệt web tích hợp sẽ có khả năng này.
TikTok thường xuyên đối mặt thông tin tiêu cực về quyền riêng tư. Ảnh: TikTok. |
Đây không phải lần đầu TikTok đối mặt thông tin tiêu cực về quyền riêng tư. Vào tháng 6, BuzzFeed phỏng vấn những cựu nhân viên, khẳng định dữ liệu người dùng TikTok ở Mỹ đã bị nhân viên tại Trung Quốc truy cập nhiều lần.
Giữa tháng 8, nền tảng này đã công bố một số thay đổi để tránh ảnh hưởng đến cuộc bầu cử giữa nhiệm kỳ diễn ra vào tháng 11 tại Mỹ, nhấn mạnh về quyền riêng tư của người dùng.
Lỗ hổng từ trình duyệt trong app
Trước đó, Krause cũng đăng tải nghiên cứu cho thấy Facebook và Instagram có thể theo dõi mọi hành động của người dùng thông qua trình duyệt tích hợp trong app. Ngày 18/8, Krause đã phát hành InAppBrowser.com, website giúp kiểm tra trình duyệt trong Instagram hay Facebook có khả năng theo dõi người dùng hay không.
7 ứng dụng được Krause thử nghiệm gồm TikTok, Facebook, Messenger, Instagram, Snapchat, Amazon và Robinhood. Tất cả được cài trên iPhone. Kết quả, TikTok, Instagram và Facebook chứa đoạn mã có thể theo dõi thao tác chạm hoặc bôi đen văn bản, riêng TikTok còn có khả năng thu thập dữ liệu gõ phím.
Alisha Swinteck, phát ngôn viên Meta, công ty mẹ của Facebook không trả lời câu hỏi liên quan đến đoạn mã, nhưng khẳng định trình duyệt trong app là tính năng phổ biến. Trình duyệt của Facebook còn hỗ trợ tự động điền nội dung, bảo mật người dùng trước các website độc hại.
"Bổ sung tính năng nào cũng cần gắn thêm mã. Chúng tôi đã thiết kế cẩn thận các trải nghiệm nhằm tôn trọng quyền riêng tư của người dùng, kể cả cách sử dụng dữ liệu để quảng cáo", Swinteck cho biết.
Trình duyệt trong app dễ dàng bị khai thác để lấy dữ liệu người dùng. Ảnh: TechNadu. |
Meta giải thích một số cú pháp trong JavaScript có thể gây hiểu lầm. Ví dụ, chữ "message" nói đến việc giao tiếp giữa các thành phần trong mã, không phải tin nhắn của người dùng.
Để tránh bị theo dõi hoặc lộ dữ liệu, người dùng cần hạn chế điền các thông tin nhạy cảm trên trình duyệt có sẵn trong app, hoặc không truy cập ứng dụng tích hợp trình duyệt web. Ngoài ra, người dùng có thể chuyển sang sử dụng phiên bản web của Instagram hay Facebook.
Krause bày tỏ mong muốn các nền tảng loại bỏ trình duyệt trong app, thay bằng Chrome hay Safari. Hiện tại, TikTok và các app của Meta đều có tùy chọn mở liên kết bằng trình duyệt bên ngoài, nhưng chỉ hiển thị sau khi người dùng truy cập bằng trình duyệt tích hợp sẵn.