TikTok 被曝 App 内浏览器“监控输入和点击的任何内容”，公司发言人否认 Javascript 代码用于恶意行为

图片地址：https://img.ithome.com/newsuploadfiles/2022/8/3a9c56f0-c111-4d45-af9e-273cb548eace.png

IT之家 8 月 21 日消息，据安全研究员 Felix Krause 称，TikTok 在 iOS 上的自定义 App 内浏览器将 JavaScript 代码注入外部网站，允许 TikTok 在用户与给定网站交互时监控“所有键盘输入和点击”，但据报道 TikTok 公司否认了该代码被用于恶意行为。Krause 表示，当用户与外部网站交互时，TikTok App 内浏览器会“订阅”所有键盘输入，包括密码和信用卡信息等任何敏感细节，以及屏幕上的每次点击。“从技术角度来看，这相当于在第三方网站上安装键盘记录器，”Krause 在谈到 TikTok 注入的 JavaScript 代码时写道。然而，研究人员补充说，“仅仅是应用将 JavaScript 注入外部网站，但并不意味着该应用正在做任何恶意的事情。”在与福布斯分享的一份声明中，TikTok 发言人承认了有问题的 JavaScript 代码，但表示它仅用于调试、故障排除和性能监控，