Một chuyên gia đã từng làm việc cho Google và Twitter tiết lộ rằng TikTok có khả năng ghi lại các thao tác gõ phím nhập thông tin văn bản (bao gồm cả mật khẩu và số thẻ tín dụng) của người dùng bằng trình duyệt trong ứng dụng trên các thiết bị Apple, theo The epochtimes.

Một nhà phát triển ứng dụng và nghiên cứu quyền riêng tư cá nhân có tên Felix Krause đã xuất bản một báo cáo về những rủi ro liên quan đến việc một số ứng dụng iOS đưa mã JavaScript vào trình duyệt của bên thứ ba.

Trong số bảy ứng dụng iOS phổ biến nhất được phân tích, TikTok có trụ sở tại Bắc Kinh là ứng dụng duy nhất không cung cấp cho người dùng tùy chọn mở liên kết bằng một trình duyệt khác, mà phải trực tiếp sử dụng trình duyệt của app này.

Krause nhận thấy rằng ứng dụng iOS của TikTok giám sát tất cả các lần nhấn phím được thực hiện trên các trang web, bao gồm các lần nhấn trên tất cả các nút và liên kết được truy cập thông qua trình duyệt trong ứng dụng của nó.

“TikTok iOS đăng ký mọi thao tác gõ phím (nhập văn bản) trên các trang web của bên thứ ba được hiển thị bên trong ứng dụng TikTok. Điều này có thể bao gồm mật khẩu, thông tin thẻ tín dụng và dữ liệu nhạy cảm khác (nào giờ thì hãy gõ phím đi!)” Krause viết.

“Chúng tôi không biết TikTok sử dụng đăng ký thao tác gõ phím để làm gì, nhưng từ góc độ kỹ thuật, điều này tương đương với việc cài đặt keylogger trên các trang web của bên thứ ba.”

TikTok xác nhận rằng có các mã tồn tại trong ứng dụng iOS của nó, nhưng hãng khẳng định không sử dụng.

“Giống như các nền tảng khác, chúng tôi sử dụng trình duyệt trong ứng dụng để cung cấp trải nghiệm tối ưu cho người dùng, những mã Javascript được đề cập chỉ được sử dụng để gỡ lỗi, khắc phục sự cố và giám sát hiệu suất của trải nghiệm đó — chẳng hạn như kiểm tra tốc độ tải trang hoặc khi ứng dụng chạy chậm” người phát ngôn của TikTok, Maureen Shanahan cho biết.

Krause đã phân tích TikTok, Facebook, Instagram, Snapchat, Amazon, Robinhood và Messenger bằng một công cụ do chính ông phát triển có tên là InAppBrowser.com.

Theo báo cáo, chỉ có Snapchat và Robinhood không đưa bất kỳ mã JavaScript nào vào. Facebook, Instagram và Messenger đã ‘tiêm’ một số mã, nhưng Krause nói rằng “không có nghĩa là ứng dụng đang làm bất cứ điều gì độc hại”.

“Chỉ vì một ứng dụng đưa JavaScript vào các trang web bên ngoài, không có nghĩa là ứng dụng đó đang làm bất cứ điều gì có hại. Không có cách nào để chúng tôi biết chi tiết đầy đủ về loại dữ liệu mà mỗi trình duyệt trong ứng dụng thu thập, hoặc cách thức mà dữ liệu có đang bị sao chép hoặc sử dụng hay không” Krause viết.

Những rủi ro

Krause cho biết rủi ro xảy ra khi người dùng mở liên kết trong khi sử dụng ứng dụng iOS, chẳng hạn như TikTok và xem trang web được hiển thị bên trong ứng dụng đó thay vì mở liên kết bằng trình duyệt của bên thứ ba, chẳng hạn như Safari hoặc Chrome.

Krause lưu ý trong một bài đăng blog năm 2018 rằng một số mã JavaScript cho phép các ứng dụng biết người dùng đã truy cập trang web được liên kết trong bao lâu, họ đã mở liên kết nào, họ đã nhấn vào cái gì, dữ liệu vị trí nếu được bật và thậm chí ghi lại người dùng hoặc “phân tích khuôn mặt của họ” trong khi sử dụng trình duyệt. 

Điều này xảy ra “mà không có sự đồng ý từ người dùng, cũng như nhà cung cấp trang web,” ông nói.

Ví dụ: một người sử dụng ứng dụng Safari trên iPhone của họ, có thể được lưu thông tin đăng nhập hoặc thẻ tín dụng để thuận tiện. Nhưng nếu họ truy cập một trang bằng trình duyệt trong ứng dụng của TikTok, mọi thông tin đăng nhập hoặc thanh toán sẽ cần được nhập mới lại. Theo báo cáo thì những thông tin được nhập vào này, đang được TikTok theo dõi. 

Krause viết: “Điều này gây ra nhiều rủi ro khác nhau cho người dùng, với việc lưu trữ các tương tác, thì ứng dụng có thể theo dõi mọi thao tác với các trang web bên ngoài cũng như các thông tin thông thường cho đến mật khẩu và địa chỉ”.

Các chuyên gia từ lâu đã cảnh báo rằng không nên tin tưởng TikTok vì nó có mối liên hệ với Đảng Cộng sản Trung Quốc (ĐCSTQ).

Luật an ninh của Trung Quốc buộc các công ty phải hợp tác với các cơ quan tình báo khi được yêu cầu. TikTok đã khẳng định rằng nó sẽ không tuân theo bất kỳ yêu cầu nào của ĐCSTQ đối với dữ liệu người dùng.

Casey Fleming, Giám đốc điều hành của công ty chiến lược an ninh và tình báo BlackOps Partners, đã nói rằng ĐCSTQ đang tham gia vào “cuộc chiến không giới hạn” khi đang tìm mọi cách thay thế Hoa Kỳ để trở thành siêu cường duy nhất trên thế giới.

Ông nói: “Tất cả công nghệ xuất khỏi Trung Quốc – được sản xuất ở Trung Quốc, được tạo ra ở Trung Quốc – đều do ĐCSTQ kiểm soát”.

“TikTok là một nền tảng gián điệp được ĐCSTQ vũ khí hóa và kiểm soát, nó nắm thông tin của hầu hết trẻ em và thanh niên của nhiều quốc gia. Đó là cách mà người ta có thể hình dung chiến tranh ngày nay trông như thế nào – một kiểu chiến tranh hỗn hợp. TikTok nên bị chính phủ Mỹ cấm ngay lập tức”.

Theo một chuyên gia khác thì ứng dụng này có thể được sử dụng để theo dõi người Mỹ; với lượng lớn dữ liệu mà TikTok thu thập về người dùng của mình, chủ yếu là người Mỹ trẻ tuổi.

Trong một nhận định đã được đăng trên Đại Kỷ Nguyên, Gary Miliefsky, một chuyên gia an ninh mạng và là nhà xuất bản Tạp chí Phòng thủ Mạng, cho biết “Nếu bạn muốn do thám một quốc gia, tại sao lại gửi một điệp viên theo cách cổ điển? Sao không chỉ gửi một ứng dụng tuyệt vời và rồi phát tán nó?”.