TikTok sleduje stisknuté klávesy, včetně hesel, ale to není vše…
- Aplikace jako Instagram, TikTok a Facebook vkládají kód JavaScript na weby třetích stran, které pro uživatele představují potenciální bezpečnostní a soukromí.
- Když v aplikaci kliknete na odkaz na externí webovou stránku, může být bez vašeho souhlasu vložen kód, který aplikaci umožní sledovat každé tlačítko nebo odkaz, na který klepnete, jakýkoli text, který vyberete, každý snímek obrazovky, který pořídíte, a vše, co na webu napíšete.
- Při srovnání několika aplikací pro iOS, včetně Amazon, Facebook Messenger a Robinhood, pouze TikTok nedokázal uživatelům nabídnout možnost přejít z procházení v aplikaci na používání externího prohlížeče při prohlížení webových stránek třetích stran.
- Mateřskou společností TikTok je ByteDance, která má vazby na Komunistickou stranu Číny, což znamená, že monitorovací možnosti aplikace by mohly být potenciálně použity pro účely průmyslové špionáže.
- Bez ohledu na to, jakou aplikaci používáte, měli byste předpokládat, že vás někdo nebo organizace sleduje.
Můžete si myslet, že zveřejnění informací online ohrožuje vaše soukromí, ale i pouhé procházení může představovat bezpečnostní riziko, tvrdí vývojář softwaru a bezpečnostní výzkumník Felix Krause.
To platí zejména při procházení aplikací v telefonu, protože prohlížeče v aplikaci mohou monitorovat prakticky vše, co děláte, včetně úhozů na klávesnici, úniku informací o kreditních kartách, hesel a dalších citlivých dat v tomto procesu.
Procházení v aplikaci znamená, že procházíte weby třetích stran, které se otevírají v aplikaci, a nikoli v samostatném prohlížeči. Krause zjistil, že procházení v aplikaci zahájené v aplikaci TikTok obsahuje kód Java Script, který umožňuje gigantovi sociálních médií sledovat každý dotyk obrazovky a textový vstup.
Zaznamenávají aplikace sociálních médií vaše stisknuté klávesy?
Krause, zakladatel Fastlane, open-source nástroje pro vývojáře iOS a Android, zveřejnil v srpnu 2022 zprávu varující před riziky mobilních aplikací s prohlížeči v aplikacích. Napsal, že zejména aplikace Instagram a Facebook „vkládají kód JavaScript na webové stránky třetích stran, které pro uživatele představují potenciální rizika pro bezpečnost a soukromí“. Krause vysvětluje:
Aplikace Instagram a Facebook pro iOS zobrazuje všechny odkazy a reklamy třetích stran v rámci jejich aplikace prostřednictvím vlastního prohlížeče v aplikaci. To představuje pro uživatele různá rizika, protože hostitelská aplikace může sledovat každou jednotlivou interakci s externími webovými stránkami, od všech formulářových vstupů, jako jsou hesla a adresy, až po každý jednotlivý dotyk.
To znamená, že Instagram bez vašeho souhlasu vloží kód JavaScript, který jim umožní upravit každé tlačítko nebo odkaz, na který klepnete, vybraný text, snímek obrazovky, který pořídíte, a cokoli, na co kliknete na webové stránce Enter, abyste mohli sledovat, např. B. Kliknutí na odkaz na externí webovou stránku v aplikaci Instagram. To se také stane, když kliknete na reklamu v aplikaci. Podle Krause:
S 1 miliardou aktivních uživatelů Instagramu je množství dat, které může Instagram shromáždit vložením sledovacího kódu do jakékoli webové stránky třetí strany otevřené z aplikace Instagram a Facebook, ohromující. Jak webové prohlížeče a iOS poskytují uživatelům stále více možností kontroly soukromí, je jasné, proč má Instagram zájem o sledování veškerého webového provozu z externích webů.
V aktualizované zprávě Krause také varuje, že TikTok monitoruje všechny stisky kláves a klepnutí na svou aplikaci:
Když otevřete odkaz v aplikaci TikTok pro iOS, otevře se ve vašem prohlížeči v aplikaci. Při interakci s webem TikTok zaznamenává všechna stisknutá tlačítka (včetně hesel, informací o kreditních kartách atd.) a každé klepnutí na obrazovku, např. B. na která tlačítka a odkazy kliknete.
TikTok iOS zaznamenává všechny úhozy (vkládání textu) na webech třetích stran vykreslených v aplikaci TikTok. To může zahrnovat hesla, informace o kreditních kartách a další citlivá uživatelská data… Nevíme, k čemu TikTok předplatné používá, ale technicky je to ekvivalent instalace keyloggeru na weby třetích stran.TikTok iOS se přihlásí k odběru každého klepnutí na tlačítko, odkaz, obrázek nebo jinou komponentu na webových stránkách prezentovaných v aplikaci TikTok. TikTok iOS používá funkci JavaScript k získání podrobností o položce, na kterou uživatel klikl, např. obrázek.
Obrovské riziko pro každého uživatele
V reakci na Forbes TikTok potvrdil, že funkce sledování uživatelů v jejich kódu existují, ale odmítl je používat. Krause také poukazuje na to, že to, že aplikace vkládá kód na externí weby, neznamená, že s ní dělá něco zlého. „Neexistuje způsob, jak zjistit úplné podrobnosti o tom, jaký typ dat každý prohlížeč v aplikaci shromažďuje nebo jak nebo zda jsou data přenášena nebo používána,“ říká.
TikTok v rozhovoru pro The Guardian znovu popřel jakékoli provinění související s jeho invazivním kódem JavaScript a uvedl: „Na rozdíl od toho, co zpráva tvrdí, neshromažďujeme žádné úhozy ani textový vstup s tímto kódem, protože se používá výhradně k ladění, odstraňování problémů a výkonu. sledování.” se stává.
Samotný fakt, že kód existuje, je však varovným signálem a indikací velkého množství dat, která by o vás mohla být shromážděna při každém surfování na internetu. Krause poznamenává:
Samozřejmě, že instalace keyloggeru je velký problém… podle TikToku je momentálně zakázaný. Problém je v tom, že mají infrastrukturu a systémy na to, aby mohli zaznamenávat všechny ty stisky kláves… to je samo o sobě velký problém. Skutečnost, že tento systém již mají, představuje pro každého uživatele obrovské riziko.
Při srovnání několika aplikací pro iOS, včetně Amazon, Facebook Messenger a Robinhood, pouze TikTok nedokázal uživatelům nabídnout možnost přejít z procházení v aplikaci na používání externího prohlížeče při prohlížení webových stránek třetích stran. Celkově řečeno, Uri Gal, profesor informačních systémů na univerzitě v Sydney, řekl The Guardian:
TikTok měl nejrozsáhlejší monitorovací možnosti. Mnoho lidí, kteří aplikaci používají, si neuvědomuje monitorování, které se nad nimi v rámci aplikace provádí. Uživatelská základna TikTok je mnohem mladší než u Facebooku a Instagramu… takže je mnohem zranitelnější.
Gal také poukázal na to, že mateřskou společností TikTok je ByteDance, která má vazby na Komunistickou stranu Číny. To znamená, že možnosti sledování aplikace by mohly potenciálně „shromáždit co nejvíce informací pro účely průmyslové špionáže a utváření veřejného mínění více v souladu s jejich zájmy“.
Zpráva společnosti Internet 2.0 zabývající se kybernetickou bezpečností potvrdila, že TikTok „nadměrně shromažďuje data“ a že aplikace „je připojena k infrastruktuře pevninské Číny“. Zatímco Instagram a Facebook se také provinily shromažďováním dat, Gal poznamenal, že TikTok také představuje jedinečnou hrozbu pro národní bezpečnost kvůli svým vazbám na Čínu.
“Jejich [Instagram a Facebook] primární motivace je téměř čistě komerční a finanční,” řekl, “zatímco s TikTok je prvek národní bezpečnosti, o kterém si nemyslím, že je přímo přítomen u ostatních.”
Shromažďuje Facebook citlivá zdravotní data?
Když surfujete na internetu, mnoho se toho děje pod radarem, i když předpokládáte, že se nacházíte v soukromější oblasti, jako je hotel. Například na webu nemocnice nebo na heslem chráněném portálu zdravotních informací, jako je MyChart. Facebook může například shromažďovat citlivá zdravotní data prostřednictvím pixelů, které lze bez vašeho vědomí nainstalovat na webové stránky, které navštěvujete.
Mohou o vás shromažďovat informace, když procházíte internet, i když nemáte účet na Facebooku. Meta pixel je část kódu JavaScript, kterou mohou vývojáři vložit na své webové stránky, aby mohli sledovat aktivitu návštěvníků.16 Podle Meta:
Dělá to načtením malé knihovny funkcí, které můžete použít, kdykoli návštěvník webu provede akci (nazývanou událost), kterou chcete sledovat (nazývanou konverze). Sledované konverze se zobrazují ve Správci reklam, kde je lze použít k měření účinnosti vašich reklam, definování vlastních publik pro cílení reklam, spouštění dynamických reklamních kampaní a analýze účinnosti konverzních cest vašeho webu.
V rámci výzkumu The Markup testoval Newsweek webové stránky ze 100 nejlepších amerických nemocnic. Meta-pixel Facebooku byl nalezen na 33 webových stránkách a odesílá informace Facebooku spojené s IP adresou, která identifikuje jednotlivé počítače a lze je zpětně vysledovat k osobě nebo domácnosti.
Pixel nesleduje pouze IP adresu používaného počítače, ale také to, kteří lékaři jsou vyhledáváni a jaké hledané výrazy jsou zadávány do vyhledávacích polí nebo vybírány z rozbalovacích nabídek. Označení hlásí:
Například na webu University Hospitals Cleveland Medical Center způsobilo kliknutí na tlačítko „Naplánovat online schůzku“ na stránce lékaře, že se v meta pixelu zobrazil text tlačítka, jméno lékaře a hledaný výraz, pomocí kterého jsme ji našli. , odesláno na Facebook: “Potrat”.
Kliknutí na tlačítko „Domluvit si schůzku online hned teď“ u lékaře na webu Froedtert Hospital ve Wisconsinu způsobilo, že meta pixel odeslal Facebooku text tlačítka, jméno lékaře a osobu, kterou jsme vybrali z rozbalovací nabídky Nemoc vysílat: “Alzheimer”.Data, ke kterým přistupujete při používání pacientských portálů chráněných heslem, lze také odesílat na Facebook prostřednictvím pixelů. Značka nalezla meta pixel v pacientských portálech ze sedmi zdravotnických systémů, včetně Edward-Elmhurst Health, FastMed, Novant Health a Community Health Network.
Shromážděná data zahrnovala názvy užívaných léků, popisy alergických reakcí a nadcházející návštěvy lékaře. Společnost Novant Health, která pixel odstranila poté, co byla kontaktována společností The Markup, uvedla: „Vážíme si toho, že se na nás obracíte a sdílíte tyto informace. Naše umístění meta pixelů je řízeno třetí stranou a bylo odstraněno, dokud záležitost dále vyšetřujeme.
Buďte opatrní s YouTube a TikTok
Ponaučení, které se musíme naučit, je, že bez ohledu na to, jakou aplikaci používáte, měli byste předpokládat, že vás někdo nebo entita může sledovat. Je důležité si uvědomit, že internet byl vytvořen vládou jako nástroj ke špehování občanů. Pokud máte zájem dozvědět se více o málo známých počátcích internetu, doporučuji přečíst si knihu Yasha Levine Surveillance Valley: The Secret Military History of the Internet.
Investigativní novinář Levine odhaluje, že internet začal ve vietnamské éře a byl používán ke špehování partyzánských bojovníků a odpůrců války, „projekt vojenské počítačové sítě, který si nakonec představoval vytvoření globálního systému sledování a předpovědí“. Cíle vojenského dohledu, které podpořily rozvoj internetu, však platí dodnes.
Rostoucí digitalizace společnosti znamená, že je obtížné zachovat vaše soukromí online, bez ohledu na to, kterou webovou stránku nebo aplikaci používáte. Zdá se však, že existují někteří zvláště hroziví viníci – včetně TikTok a YouTube. Studie společnosti URL Genius zkoumala 200 aplikací ve 20 různých kategoriích a zjistila, že většina aplikací zanechává rozsáhlé datové stopy, a to i při velmi malém využití.
Kromě toho může sledování pokračovat na jiných webových stránkách, i když již aplikaci nepoužíváte. Průměrný počet síťových kontaktů na aplikaci byl šest a YouTube a TikTok tento počet zaznamenaly nárůst, ačkoli skutečný počet uživatelů přihlášených do aplikací je pravděpodobně vyšší.
Ze sledovačů na YouTube čtyři pocházely z domén třetích stran – externích stran, které shromažďují informace a aktivitu uživatelů. Ve společnosti TikTok pocházelo 13 ze 14 síťových kontaktů od poskytovatelů třetích stran. Jak poznamenal URL Genius:
Spotřebitelé, kteří nesouhlasili se sledováním jejich dat, budou znepokojeni počtem sítí třetích stran, které aplikace kontaktují – a to i při minimálním využití aplikace. Spotřebitelé v současné době nevidí, jaká data jsou sdílena se sítěmi třetích stran nebo jak jsou jejich data využívána… Spotřebitelé v současné době nemají možnost odhlásit se z potenciálních sledovačů – jejich možnosti jsou buď používání aplikace, nebo ne používat to.
Krause vyvinul bezpečnostní nástroj – InAppBrowser.com – který lze použít ke zjištění, jaké aplikace sledují, když používáte jejich prohlížeče v aplikaci, ale bezpečný odhad je, že je to hodně. Chcete-li získat zpět část svého online soukromí, jak pro sebe, tak pro své děti, můžete se zcela vyhnout YouTube a TikTok a vyzkoušet také tyto tipy:
- Zbavte se Gmailu. Pokud máte účet Gmail, vyzkoušejte místo toho e-mailovou službu od jiného poskytovatele, jako je Google. B. ProtonMail, šifrovaná e-mailová služba se sídlem ve Švýcarsku.
- Odinstalujte Google Chrome a místo toho použijte prohlížeč Brave, který je dostupný pro všechny počítače a mobilní zařízení. Blokuje reklamy a chrání vaše soukromí.
- Změňte vyhledávač. Zkuste místo toho vyhledávač Brave.
- Vyhněte se Androidu. Telefony Google a telefony se systémem Android sledují prakticky vše, co děláte, a nechrání vaše soukromí. Odgooglení telefonu je možné pořízením telefonu Android bez OS Google, ale musíte najít zkušeného IT specialistu, který dokáže přeformátovat pevný disk vašeho telefonu.
- Vyhněte se zařízením Google Home. Pokud máte chytrý reproduktor Google Home nebo aplikaci pro chytré telefony Google Assistant, existuje šance, že ostatní lidé naslouchají vašim požadavkům, i když je nečekáte.
- Vymažte mezipaměť a soubory cookie. Zde je návod, jak se zbavit invazivního počítačového kódu, který sleduje, co děláte online.
- Použijte proxy nebo VPN (virtuální privátní síť). Tato služba vytváří nárazníkovou zónu mezi vámi a internetem a „blafuje mnoho sledovacích společností, aby si myslely, že nejste sami sebou“.
Článek v PDF :
Prameny:
- 1, 10, 28 ABC.net.au 21. srpna 2022
- 2, 6, 8 Felix Krause 18. srpna 2022
- 3, 4, 5 Felix Krause 10. srpna 2022
- 7 Forbes 18. srpna 2022
- 9, 11, 12, 14 The Guardian 24. srpna 2022
- 13 Internet 2.0, je to jejich slovo proti jejich zdrojovému kódu — Zpráva TikTok
- 15, 18, 19, 20 Označení 16. června 2022
- 16, 17 Meta pro vývojáře, Meta Pixel
- 21, 22 SurveillanceValley.com
- 23 URL Genius 20. ledna 2022
- 24, 25 CNBC, 8. února 2022
- 26 URL Genius 20. ledna 2022, Proč na tom záleží
- 27 InAppBrowser.com
- 29 Střední 17. března 2017
