اخر الاخبار

Home / اخبار، / حماية، / يحذر تحليل الخصوصية من أن متصفح تيك توك داخل التطبيق يمكّنه من مراقبة جميع إدخالات لوحة المفاتيح

يحذر تحليل الخصوصية من أن متصفح تيك توك داخل التطبيق يمكّنه من مراقبة جميع إدخالات لوحة المفاتيح

الكاتب: في : أغسطس 19, 2022 قسم : ,

 

يحذر تحليل الخصوصية من أن متصفح تيك توك داخل التطبيق يمكّنه من مراقبة جميع إدخالات لوحة المفاتيح


الحذر من إستخدام المتصفحات داخل التطبيق ، هي قاعدة أساسية جيدة لأي مستخدم لتطبيق جوال يهتم بالخصوصية ، نظرًا لإمكانية قيام التطبيق بالاستفادة من قبضته على انتباه المستخدم للتطفل على ما تبحث عنه عبر برنامج المتصفح الذي يتحكم فيه أيضًا. ولكن أثيرت الدهشة حول سلوك متصفح تيك توك داخل التطبيق بعد أن وجد بحث مستقل للخصوصية أجراه المطور فيليكس كراوس رمز حقن تطبيق iOS للشبكة الاجتماعية والذي يمكن أن يمكّنه من مراقبة جميع إدخالات لوحة المفاتيح والنقرات.


'يشترك تطبيق تيك توك على iOS في كل ضغطة مفتاح (إدخالات نصية) تحدث على مواقع ويب تابعة لجهات خارجية يتم عرضها داخل تطبيق تيك توك. يمكن أن يشمل ذلك كلمات المرور ومعلومات بطاقة الائتمان وغيرها من بيانات المستخدم الحساسة ، 'يحذر كراوس في منشور مدونة يشرح بالتفصيل النتائج. 'لا يمكننا معرفة ما يستخدم تيك توك الاشتراك من أجله ، ولكن من منظور تقني ، هذا يعادل تثبيت Keylogger على مواقع الويب التابعة لجهات خارجية.



بعد نشر تقرير الأسبوع الماضي ، ركز على إمكانات تطبيقات ميتا على فيسبوك و إنستغرام على iOS لتتبع مستخدمي المتصفحات داخل التطبيق ، تابع كراوس من خلال إطلاق أداة تسمى InAppBrowser.com ، والتي تتيح لمستخدمي تطبيقات الأجهزة المحمولة الحصول على تفاصيل الشفرة يتم إدخالها بواسطة المتصفحات داخل التطبيق من خلال سرد أوامر JavaScript التي ينفذها التطبيق أثناء عرض الصفحة.


 (ملاحظة: يحذر من أن الأداة لا تسرد بالضرورة جميع أوامر جافا سكريبت المنفذة ولا يمكنها التقاط تتبع قد يقوم به أحد التطبيقات باستخدام كود أصلي - لذلك في أحسن الأحوال تقدم لمحة عن الأنشطة التي يُحتمل أن تكون سطحية.)


استخدم كراوس الأداة لإنتاج تحليل مقارن موجز لعدد من التطبيقات الرئيسية التي يبدو أنها تضع تيك توك في المقدمة فيما يتعلق بالسلوكيات المتعلقة بالمتصفحات داخل التطبيق - نظرًا لنطاق المدخلات ، تم تحديد الاشتراك إلى؛ وحقيقة أنه لا يوفر للمستخدمين خيارًا لاستخدام متصفح الجوال الافتراضي (أي بدلاً من متصفحه داخل التطبيق) لفتح روابط الويب. يعني هذا الأخير أنه لا توجد طريقة لتجنب تحميل رمز تتبع تيك توك إذا كنت تستخدم التطبيق لعرض الروابط ، الخيار الوحيد لتجنب مخاطر الخصوصية هذه هو قطع التطبيق تمامًا واستخدام متصفح الهاتف لتحميل الرابط مباشرة ( وإذا لم تتمكن من نسخه ولصقه ، فسيتعين عليك تذكر عنوان URL للقيام بذلك).



يحرص كراوس على الإشارة إلى أنه لمجرد أنه اكتشف أن تيك توك يشترك في كل ضغطة مفتاح يقوم بها المستخدم على مواقع الطرف الثالث التي يتم عرضها داخل متصفحه داخل التطبيق ، فهذا لا يعني بالضرورة أنه يقوم 'بأي شيء ضار' بالوصول - كما يلاحظ أن هناك لا توجد وسيلة للأجانب لمعرفة التفاصيل الكاملة حول نوع البيانات التي يتم جمعها أو كيف أو ما إذا كان يتم نقلها أو استخدامها. ولكن ، من الواضح أن السلوك نفسه يثير أسئلة ومخاطر خصوصية لمستخدمي تيك توك.


 أرسل متحدث باسم شركة تيك توك هذا البيان الآن:


'استنتاجات التقرير حول تيك توك غير صحيحة ومضللة. يقول الباحث تحديدًا أن كود JavaScript لا يعني أن تطبيقنا يفعل أي شيء ضار ، ويعترف بأنه ليس لديهم طريقة لمعرفة نوع البيانات التي يجمعها متصفحنا داخل التطبيق. على عكس ادعاءات التقرير ، نحن لا نجمع ضغطات المفاتيح أو إدخالات النص من خلال هذا الرمز ، والذي يستخدم فقط لتصحيح الأخطاء واستكشاف الأخطاء وإصلاحها ومراقبة الأداء '.



يجادل تيك توك بأن مدخلات 'keypress' و 'keydown' التي حددها كراوس هي مدخلات شائعة ، مدعياً ​​أنه من غير الصحيح وضع افتراضات حول استخدامها بناءً على الكود الذي تم إبرازه بواسطة البحث.



ولدعم هذا ، أشار المتحدث الرسمي إلى بعض الكود غير التابع لـ تيك توك من Github والذي اقترحوا أنه سيؤدي إلى نفس الاستجابة التي استشهد بها البحث كدليل على جمع بيانات غير صحيح ولكن يتم استخدامه بدلاً من ذلك لتشغيل أمر يُعرف باسم `` StopListening '' قالوا إنه سيمنع على وجه التحديد تطبيقًا من التقاط ما تم كتابته.


كما زعموا أن شفرة JavaScript التي أبرزها البحث تُستخدم فقط لتصحيح الأخطاء واستكشاف الأخطاء وإصلاحها ومراقبة الأداء للمتصفح داخل التطبيق لتحسين تجربة المستخدم ، مثل التحقق من سرعة تحميل الصفحة أو ما إذا كانت تتعطل. وقال إن JavaScript المعني هو أيضًا جزء من SDK تستخدمه - والادعاء أيضًا أن مجرد وجود رمز معين لا يعني أن الشركة تستخدمه.


 أكد المتحدث أيضًا على التمييز بين الأذونات التي تسمح للتطبيقات بالوصول إلى فئات معينة من المعلومات على جهاز المستخدم (المعروف أيضًا باسم 'الاستدعاء') كمعارضة لجمع البيانات أو معالجتها وفقًا لسياسات متجر التطبيقات - مما يشير إلى العديد من العناصر المرتبطة بفئات المعلومات قد يتم تحليلها محليًا على الجهاز دون أن يتم جمع المعلومات نفسها من قبل تيك توك.


وذكر المتحدث باسم تيك توك أيضًا أنه لا يوفر للمستخدمين خيارًا بعدم استخدام متصفحه داخل التطبيق لأنه سيتطلب توجيههم خارج التطبيق الذي جادلوا أنه سيوفر تجربة ثقيلة وأقل سلاسة.


كرروا أيضًا رفض تيك توك العام السابق بأنه يشارك في تسجيل ضغطات المفاتيح (أي التقاط المحتوى) لكنهم اقترحوا أنه قد يستخدم معلومات ضغط المفاتيح لاكتشاف الأنماط أو الإيقاعات غير العادية ، مثل ما إذا كان كل حرف مكتوب هو بالضبط مفتاح واحد في الثانية ، للمساعدة الحماية من عمليات تسجيل الدخول المزيفة أو التعليقات الشبيهة بالبريد العشوائي أو أي سلوك آخر قد يهدد سلامة نظامها الأساسي.


ذهب المتحدث باسم تيك توك إلى اقتراح مستوى جمع البيانات الذي يشارك فيه يشبه التطبيقات الأخرى التي تجمع أيضًا معلومات حول ما يبحث عنه المستخدمون داخل التطبيق لتتمكن من التوصية بالمحتوى ذي الصلة وتخصيص الخدمة.


وأكدوا أن المستخدمين الذين يتصفحون محتوى الويب داخل التطبيق يتم تعقبهم من أجل تخصيص مماثل ، مثل تحديد مقاطع الفيديو ذات الصلة لعرضها في خلاصة For You الخاصة بهم. قد تجمع تيك توك أيضًا بيانات حول نشاط المستخدم في مكان آخر ، على تطبيقات ومواقع الويب الخاصة بالمعلن ، عندما تختار شركات الطرف الثالث مشاركة هذه البيانات معها ، كما أشاروا.


اكتشف كراوس أيضًا التطبيقات المملوكة للميتا ، إنستغرام و فيسبوك و ماسنجر ، لتعديل مواقع الطرف الثالث التي يتم تحميلها عبر متصفحات التطبيقات الخاصة بهم - بأوامر 'يحتمل أن تكون خطرة' ، على حد تعبيره - وقد اقتربنا أيضًا من التقنية عملاق للرد على النتائج.



يتم تنظيم الخصوصية وحماية البيانات في الاتحاد الأوروبي ، من خلال القوانين بما في ذلك اللائحة العامة لحماية البيانات (GDPR) وتوجيه الخصوصية الإلكترونية ، لذا فإن أي تتبع يتم إجراؤه للمستخدمين في المنطقة التي تفتقر إلى قاعدة قانونية مناسبة قد يؤدي إلى عقوبة تنظيمية.


خضع عملاقا وسائل التواصل الاجتماعي بالفعل لمجموعة متنوعة من الإجراءات والتحقيقات والإنفاذ في الاتحاد الأوروبي حول الخصوصية والبيانات ومخاوف حماية المستهلك في السنوات الأخيرة - مع عدد من التحقيقات الجارية وبعض القرارات الرئيسية تلوح في الأفق.


قالت لجنة حماية البيانات الأيرلندية ، وهي الجهة المنظمة الرئيسية لحماية البيانات في ميتا و تيك توك بموجب اللائحة العامة لحماية البيانات في أوروبا ، لموقع TechCrunch إنها طلبت عقد اجتماع مع ميتا عقب التقارير الإعلامية الأسبوع الماضي حول مشكلة JavaScript. وقالت أيضًا إنها ستتعامل مع تيك توك بشأن هذه المشكلة.


تابع موقعنا tech1new.com انضم إلى صفحتنا على فيسبوك و متابعتنا على Twitter للحصول على تحديثات إخبارية فورية ومراجعات وشروحات تقنية

Author Image

الكاتب: majed bahaj
قد تحتوي هذه المقالة على روابط تابعة قد تتلقى منها أمازون و/أو علي إكسبريس و/أو الناشر عمولة إذا قمت بشراء منتج أو خدمة من خلال تلك الروابط. This article may contain affiliate links that Amazon and/or AliExpress and/or the publisher may receive a commission from if you buy a product or service through those links.

مواضيع ذات صلة:
By في أغسطس 19, 2022
التسميات: ,

ليست هناك تعليقات:

إرسال تعليق

الاشتراك في: تعليقات الرسالة (Atom)