TikTok получает данные пользователей каждую секунду
Одно из самых популярных приложений в мире TikTok имеет неконтролируемый доступ к буферу обмена. Об этом пишет wylsa.com.
Социальная сеть обращается к буферу обмена каждый раз, когда пользователь набирает любой из знаков на клавиатуре. При этом, в отличие от Google Chrome, считывающего ссылки и предлагающего по ним перейти, TikTok делает это без какой-либо аргументации.
Три месяца назад социальную сеть уже уличали в подозрительном поведении. В марте исследователи безопасности установили, что некоторые приложения, в том числе и TikTok, запрашивают доступ к буферу обмена при каждом запуске без разрешения пользователя. При этом, после вопроса The Telegraph, в руководстве социальной сети заявили, что в ближайшее время эта функция будет выключена.
В апреле пользователь Reddit под ником bangorlol опубликовал пост, в котором подробно рассказал, к каким данным имеет доступ TikTok:
Какой у вас телефон, а также все его характеристики; Информация о других приложениях, установленных в смартфоне, включая удаленные; Вся информация, известная о сети, в которой вы сидите; Был ли ваш смартфон рутирован или взломан; Отслеживание местоположения с помощью GPS каждые тридцать секунд; ByteDance настраивает на вашем устройстве локальный сервер для транскодирования видео, но у него нулевая аутентификация, так что этой функцией можно легко злоупотребить; Настройки происходят удаленно, а поведение приложения меняется, когда оно понимает, что пользователь пытается понять, какие данные использует TikTok.
В конце июня выяснилось, что под «выключено» ByteDance, которое занимается разработкой TikTok, понимает что-то странное: частота обращений к буферу только увеличилась. Однако же теперь разработчики поменяли свою точку зрения:
«После выхода бета-версии iOS 14 22 июня пользователи начали получать уведомления при использовании ряда популярных приложений. У TikTok они были вызваны функцией, предназначенной для выявления спамеров. Мы уже представили обновлённую версию приложения в App Store, удалив функцию защиты от спама. Это поможет исключить возможную путаницу», — говорится в сообщении ByteDance.
Уязвимость была снова обнаружена неделю назад, однако на момент публикации новости ByteDance никак не исправила проблему.