El buscador de TikTok supuestamente es capaz de monitorizar todo lo que se escribe

Rubén Castro, 19 agosto 2022

Según el investigador de seguridad Felix Krause, el navegador personalizado de TikTok en iOS supuestamente inyecta código JavaScript en sitios web externos que permite a TikTok monitorizar “todas las entradas y pulsaciones del teclado” mientras un usuario está interactuando con un determinado sitio web, pero TikTok ha negado que el código se utilice con fines maliciosos.


Krause afirmó que el navegador de la aplicación de TikTok “se suscribe” a todas las entradas de teclado realizadas por los usuarios mientras interactúan con sitios web externos. Esto incluye información sensible como contraseñas y números de tarjetas de crédito.

Krause comparó la instalación del código JavaScript de TikTok en sitios web de terceros con la instalación de un keylogger. El investigador afirmó que el hecho de que una aplicación inyecte JavaScript en sitios web externos no indica necesariamente que la aplicación sea maliciosa.

Según un representante de TikTok, el código se emplea con fines de depuración, resolución de problemas y supervisión del rendimiento para ofrecer una “experiencia de usuario óptima”.

Según Forbes, utilizamos un navegador dentro de la aplicación para proporcionar la mejor experiencia posible al usuario; sin embargo, el código Javascript en cuestión se utiliza exclusivamente para fines de depuración, solución de problemas y control del rendimiento.

Según Krause, los clientes deberían ver un enlace utilizando el navegador por defecto de la plataforma siempre que esté disponible. Por ejemplo, los consumidores que utilizan un iPhone o un iPad deben utilizar Safari.

Al abrir un enlace desde una aplicación, compruebe si puede visitar el sitio web en el navegador que utiliza normalmente, como aconseja Krause en su escrito. La investigación descubrió que todas las aplicaciones, a excepción de TikTok, ofrecían esta función.

Según Krause, Facebook e Instagram insertan código de seguimiento escrito en JavaScript en sitios web externos que se cargan en sus navegadores in-app. Esto permite a las empresas controlar la actividad de sus usuarios. En un tuit, la empresa Meta, propietaria de Facebook e Instagram, declaró que “desarrolló especialmente este código para respetar la configuración de la App Tracking Transparency (ATT) de las personas”.

Para determinar si un navegador in-app inyecta o no JavaScript al visitar una página web, Krause desarrolló una herramienta. El investigador explicó que los usuarios necesitan lanzar una aplicación que deseen analizar, compartir InAppBrowser.com dentro de la aplicación (como en un mensaje directo), tocar el enlace dentro de la aplicación para abrirlo en el navegador in-app de la aplicación, y luego leer el informe que se presenta.