TikTok può leggere tutto, anche le password

Chi apre link o inserisce testo nel browser in-app di TikTok deve fare i conti con il fatto che ogni tocco sullo schermo può essere registrato. Lo dimostra un'analisi del ricercatore sulla privacy Felix Krause, che ha esaminato il codice dell'applicazione per iPhone. A quanto pare, il browser non si limita ad aprire il sito web, ma inietta anche il proprio codice Javascript, che permette a TikTok di vedere cosa fanno esattamente gli utenti. Non è ancora chiaro se lo stesso valga per la versione Android dell'applicazione.

"Non sappiamo per cosa TikTok utilizzi questa funzione. Tecnicamente, non è altro che un keylogger su siti web di terze parti", scrive Krause. Ciò significa che l'azienda cinese può teoricamente registrare qualsiasi input, comprese le password o le informazioni della carta di credito. Inoltre è esplosivo: a differenza delle app di Facebook o Instagram, gli utenti di TikTok non hanno la possibilità di aprire i link nel browser standard del cellulare. Inoltre, anche i browser in-app delle meta-app registrano ogni clic sui link, ma almeno non la pressione dei tasti.

TikTok: "Non raccogliamo le password"

Implementare questo codice deve essere stata una decisione consapevole di TikTok, secondo Krause: "Si tratta di uno sforzo di sviluppo significativo che non avviene per caso o per fortuna."

Se TikTok utilizzi effettivamente il codice per raccogliere i dati, se questi vengano inviati ai server dell'azienda o a fornitori terzi, Krause non lo sa.

TikTok stesso ha negato con veemenza le accuse di registrare le password alla rivista economica Forbes: "Come altre piattaforme, utilizziamo un browser in-app per offrire agli utenti la migliore esperienza. Il codice Javascript viene utilizzato solo per la correzione di bug e per controllare le prestazioni del browser." L'azienda afferma che il codice fa parte di un kit di sviluppo software di terze parti - le domande su chi sia questa terza parte non hanno avuto risposta.