محمد بختیاری

داده‌های کاربران ازطریق کیبورد مرورگر درون‌برنامه‌ای Tik Tok سرقت می‌شود

چقدر احساس امنیت می‌کنید اگر بدانید فیسبوک و اینستاگرام و تیک‌تاک می‌توانند تمام ضربه‌هایی را ردیابی کنند که روی کیبورد در گوشی آیفون می‌زنید؟ براساس گزارش ورج، Felix Krause، توسعه‌دهنده‌ی وب‌سایتی با نام inappbrowser.com، می‌گوید کیبورد درون‌برنامه‌ای اپلیکیشن‌هایی نظیر فیسبوک و اینستاگرام و تیک‌تاک این فرصت را فراهم می‌کنند که با استفاده از کدهای جاوااسکریپت، داده‌های خصوصی مثل کارت‌های اعتباری، آدرس‌ها، رمزهای عبور و بسیاری دیگر از انواع داده را بدون اجازه کاربر ذخیره کنند.

بنابر اطلاعات این توسعه‌دهنده، اپلیکیشن‌های تیک‌تاک، فیسبوک، اینستاگرام و فیسبوک‌مسنجر می‌توانند درصورت استفاده کاربر از کیبورد‌های درون‌برنامه‌ای اختصاصی آن برنامه‌ها، داده‌های ورودی کاربر را ضبط کنند. نکته‌ی جالب آن است که تمام اپلیکیشن‌های نام‌برده به کاربر اجازه می‌دهند که از کیبورد پیش‌فرض دستگاه استفاده کنند به‌جز اپلیکیشن تیک‌تاک که کاربر را به استفاده از کیبورد درون‌برنامه‌ای مجبور می‌کند. این موضوع به‌تازگی سبب بروز نگرانی‌های امنیتی برخی مقام‌های رسمی دولتی ایالات متحده شده است.

تیک‌تاک در بیانیه‌ای که ازطریق حساب کاربری خود در توییتر منتشر کرد، دراین‌باره چنین پاسخ داد:

نتیجه‌گیری گزارش درباره‌ی تیک‌تاک نادرست و گمراه‌کننده است. برخلاف ادعاها، ما هیچ‌گونه اطلاعاتی از داده‌های ورودی کاربر ازطریق کیبورد جمع‌آوری نمی‌کنیم؛ بلکه این کدها فقط‌وفقط به‌منظور عیب‌یابی و مشکل‌زدایی و نظارت عملکرد تعبیه شده‌اند.

سرقت داده‌های کیبورد درون‌برنامه‌ای تیک تاک

مأمور عالی رتبه کمیسیون فدرال ارتباطات، برندن کار، ژوئن ۲۰۲۲ (خرداد ۱۴۰۱) گفت تیک‌تاک باید از اپ‌استور و گوگل پلی‌استور حذف شود. کار افزود: «تیک تاک ابزار نظارتی پیچیده‌ای است که مقادیر زیادی از داده‌های شخصی و حساس افراد را جمع‌آوری می‌کند.» اکنون براساس گزارش جدید، داده‌های حساس کاربران ازطریق کیبورد این اپلیکیشن به پکن ارسال می‌شود.

کراوس گفت: «زمانی‌که کاربر در تیک‌تاک وب‌سایت‌هایی را در مرورگر درون‌برنامه‌ای اپلیکیشن باز می‌کند، هر داده‌ای که روی کیبورد وارد و تایپ کند، ضبط خواهد می‌شود.» این توسعه‌دهنده درادامه لیان کرد:

با اینکه اسکریپت اضافه‌شده مستقیماً این مشکل را ایجاد نمی‌کند، اجرای اسکریپت‌های این‌چنینی روی وب‌سایت‌های دیگر به آن‌ها اجازه می‌دهد که تمام تعاملات کاربر با وب‌سایت را از لمس دکمه و لینک گرفته تا انتخاب متن، اسکرین‌شات، داده‌های ورودی فرم‌ها مانند رمزعبور، آدرس و شماره‌های کارت اعتباری و… زیرنظر قرار بگیرند.

کراوس افزود داده‌های دقیقی که اینستاگرام ردیابی می‌کند، نمونه‌گیری نکرده است؛ اما قصد داشته است که فقط درباره‌ی پایش داده‌های کاربران بدون اطلاع آن‌ها اطلاع‌رسانی کند. شرکت متا که فیسبوک و اینستاگرام زیرمجموعه‌های آن هستند، در پاسخ به این گزارش اعلام کرد که کاربران اینستاگرام و فیسبوک قبلاً رضایت داده‌اند که درصورت استفاده از اپلیکیشن، داده‌های آن‌ها پایش شود. متا همچنین ادعا کرد که داده‌های جمع‌آوری‌شده فقط برای تبلیغات هدفمند یا به‌منظور «اهداف اندازه‌گیری» استفاده می‌شوند.

نماینده ابرشرکت متا توضیح داد که به‌صورت عمدی این کدها درون صفحه‌ی بارگذاری‌شده تزریق می‌شوند تا به انتخاب کاربران در پلتفرم خود احترام بگذاریم. این کدها به ما اجازه می‌دهند داده‌های کاربر را قبل از استفاده از آن برای اهداف تبلیغاتی یا اندازه‌گیری هدفمند جمع‌آوری کنیم. وی افزود:

برای مثال، در خریدهایی که کاربر ازطریق مرورگر درون‌برنامه‌ای انجام می‌دهد، با دریافت رضایت کاربر اطلاعات پرداخت را برای اهداف تکمیل خودکار فرم‌های آتی ذخیره می‌کنیم. این ویژگی کمک می‌کند به‌صورت خودکار فرم‌های مخصوصی در اپلیکیشن و وب‌سایت‌ها براساس داده‌های ورودی قبلی مانند نام، آدرس، شماره تلفن و… پر شوند.

کراوس نیز درباره‌ی سرویس وب‌سایت inappbrowser توضیحاتی ارائه کرد. درواقع، وب‌سایت کراوس هدفش این است که برای همه‌ی افراد امکان بررسی مرورگرهای درون‌برنامه‌ای هر اپلیکیشنی را فراهم کند. البته ظاهراً این ابزار نمی‌تواند تمام فرمان‌های جاوااسکریپت اجراشده و اپلیکیشن‌های ردیابی را شناسایی کند که از کدهای نیتیو استفاده می‌کنند.

برای استفاده از وب‌سایت inappbrowser.com، به آدرس آن مراجعه و طبق دستورالعمل زیر مراحل را طی کنید:

  1. اپلیکیشنی که می‌خواهید بررسی کنید، باز کنید.
  2. آدرس https://InAppBrowser.com را در اپلیکیشن به‌اشتراک بگذارید (برای مثال، می‌توانید در بخش ارسال پیام اینستاگرام آن را برای دوست خود ارسال کنید).
  3. روی لینک ضربه بزنید تا مرورگر درون‌برنامه‌ای آن را بارگذاری کند.
  4. اکنون می‌توانید گزارش را بخوانید.
مقاله‌ی مرتبط:

نگرانی‌ها درباره‌ی تیک‌تاک موضوع جدیدی نیست و از همان ابتدا در ایالات متحده نگرانی‌هایی بابت آن شکل گرفت و تا آن‌‌جا پیش رفت که دوران ریاست‌جمهوری دونالد ترامپ امکان مسدودسازی این شبکه نیز مطرح شد و ترامپ پیشنهاد خرید آن را نیز مطرح کرد که سرانجامی نداشت. بد نیست بدانید که در انتخابات سال ۲۰۲۰ (۱۳۹۹) ایالات متحده، کمپین انتخاباتی جو بایدن از تمام اعضا و کارکنانش خواست که اپلیکیشن تیک‌تاک را از روی گوشی‌های خود حذف کنند.

دیدگاه شما کاربران زومیت درباره‌ی امکان اپلیکیشن‌ها برای نظارت و ضبط داده‌های ورودی ازطریق کیبورد چیست؟

پاسخی بنویسید