Ciberseguridad Vulnerabilidad

TikTok está registrando tus contraseñas y datos sensibles al usar su navegador in-app

TikTok está registrando tus contraseñas y datos sensibles al usar su navegador in-app

En los últimos años, perdimos la cuenta de cuántas veces se ha señalado a TikTok de vulnerar la privacidad de sus usuarios. Durante su gobierno, Donald Trump acusó a la aplicación y pidió censurarla. Luego, Anonymous pidió no utilizar TikTok por seguridad. Hacia finales de junio, el debate por el espionaje de TikTok en iOS y Android se reabrió en Estados Unidos. Y, finalmente, ByteDance admitió iniciando julio que sí espiaban a los usuarios desde China, aunque asegurando que no usaban la información para mal.

Sin embargo, parece que esta última afirmación se acaba de poner en tela de juicio, porque se reveló un dato realmente preocupante. TikTok espía todo lo que haces al utilizar su navegador y lo registra: toques, enlaces visitados, contraseñas, ¡TODO! Y sí, la compañía misma lo confirmó.

TikTok registra todo lo que haces al acceder con su navegador web a un enlace

Gracias a una publicación en el blog de Félix Krause (desarrollador y especialista en privacidad de iOS), se supo que usar el navegador integrado de TikTok es muy peligroso. Al acceder a un enlace desde el webview de TikTok, todo lo que hagas en ese portal web será registrado por la aplicación: tu comportamiento, los enlaces que abriste, las pulsaciones de pantalla, tus metadatos y hasta todo lo que teclees.

Concretamente, la aplicación inyecta código de JavaScript en cada web que visites para captar toda la información que pueda. Krause explica que esto es algo normal en muchas apps de redes sociales que incluyen un navegador interno, pero el caso de TikTok es doblemente peculiar.

Mientras que otras aplicaciones solo registran metadatos y tu comportamiento, TikTok va más allá. El código inyectado al renderizar las páginas web permite registrar todas las entradas de teclado, incluyendo: contraseñas, datos bancarios, números de tarjetas, direcciones personales y demás información sensible.

Como agravante, TikTok es la única app social (entre las más populares) que no permite usar el navegador por defecto instalado en tu móvil. Por el contrario, te obliga a utilizar su navegador interno y ya luego es que puedes copiar el enlace para utilizarlo en otro navegador.

Krause comenta que tal nivel de intromisión es equivalente a instalar un Keylogger (un tipo de malware) en tu móvil, lo cual representa una clara violación a la privacidad de los usuarios. El descubrimiento se dio en la app de TikTok para iOS, pero no se descarta que también pueda estar sucediendo en Android, que tiende a ser más permisivo.

TikTok lo confirma: sí registran los datos y entradas de texto con su navegador in-app

El descubrimiento de esta grave brecha de seguridad y privacidad se dio gracias a una herramienta que el mismo Krause desarrolló recientemente. Es una web llamada inAppBrowser.com, que hace lo siguiente: al acceder a esta página web, la herramienta detecta si un navegador está intentando inyectar código JavaScript en el portal.

Además, precisa si es un código que puede ser potencialmente peligroso o si es algo que no debería preocupar a los usuarios. En el caso de TikTok todas las alarmas se encendieron, por lo que comentamos arriba y porque también registra todos los botones que pulses, imágenes, enlaces y más.

El desarrollador apunta que su hallazgo no necesariamente indica que TikTok pueda estar dando un mal uso a toda esa información recabada. No obstante, advierte que es algo a lo que hay que prestarle mucha atención.

TikTok asegura que no usa maliciosamente los datos recogidos

Al ser consultados sobre esto, ByteDance confirmó que dicho código sí existe en su aplicación, pero la compañía no usa la información para ningún fin malicioso. Esto fue lo que dijo Maureen Shanahan, portavoz de la empresa:

“Al igual que otras plataformas, usamos un navegador interno en la aplicación para brindar una experiencia de usuario óptima, pero el código JavaScript en cuestión se usa solo para depurar, solucionar problemas y monitorear el rendimiento de esa experiencia, así como verificar qué tan rápido carga una página o si falla”.

Al nivel que hemos llegado con los señalamientos (y evidencias) contra TikTok, cuesta creer que la app no sea un riesgo para la privacidad de los usuarios. Sin embargo, sigue siendo una app increíblemente popular, con un crecimiento que se está comiendo a las apps de Meta, Inc. El tiempo dirá qué pasará después de esto, aunque esperemos que esta novela finalice con un cierre positivo para los usuarios.

referencia https://androidphoria.com/novedades/tiktok-espia-todo-lo-que-haces-en-el-navegador-y-lo-registra

Author

Luis Díaz