Petteri Pyyny
19. elokuuta, 2022 12:23
Supersuositusta kiinalaisesta lyhytvideosovelluksesta TikTokista on paljastunut erittäin raskauttava ja tarkoituksella luotu tietoturva-aukko. Tempun takana on nimenomaan TikTok ja sen omistava kiinalainen ByteDance, eli mistään ulkopuolisesta uhasta ei ole kyse.
Käytännössä ongelma koskee TikTokissa olevia linkkejä. Jos käyttäjä klikkaa mitä tahansa linkkiä TikTokin sovelluksessa - olipa kyseessä linkki verkkokauppaan, linkki käyttäjän Instagram-profiiliin tai mihin vain - aukeaa kyseinen linkki TikTokin sisäisessä selaimessa.
Käytäntö on täysin normaali tapa toimia: Facebook, Instagram, kotimainen Ampparit ja miljoonat muut sovellukset toimivat näin.
Käytännössä verkkolinkki avataan puhelimen käyttöjärjestelmän sisäisellä, hieman karsitulla selaimella, joka voidaan upottaa osaksi mitä tahansa Android- tai iPhone-sovellusta.
Tietoturvariski syntyy siitä, mitä TikTok lisää avattavan sivun mukaan.
Avattaessa mikä tahansa sivu TikTokin kautta, TikTokin omassa selaimessa, lisää TikTok avattavan sivun mukaan pätkän JavaScript-koodia. Kyseinen JavaScript-koodi käynnistää taustalla olevan ohjelmakoodin, joka seuraa kaikkia käyttäjän toimintoja avatulla sivustolla. Eli TikTok saa selville kaikki napautukset, painallukset ja pyyhkäisyt, mitä avatulla sivustolla teet.
Jos vaikkapa avaat linkin TikTokista, joka vie AfterDawnin uutiseen ja päätät kommentoida uutistamme, kerää TikTok kaiken tekstin mitä syötät sivuillemme - myös salasanasi ja käyttäjätunnuksesi.
AfterDawn ei liene riskeiltään isoin, mutta riskit nousevat merkittävästi, jos TikTokin kautta siirtyykin vaikkapa videossa suositeltuun verkkokauppaan. Jos syötät TikTokin kautta avatun verkkokaupan tilauskaavakkeelle luottokorttisi tiedot, myös ne kerätään talteen.
Instagram tekee selvityksen perusteella täsmälleen samaa, ainakin iPhonella käytettäessä.
Sekä Instagramin että TikTokin epäilyttävät toimintatavat sai selville tietoturvatutkija Felix Krause, joka kehitti sovellusten sisäisten selainten seurantaan oman työkalunsa.
TikTok on myöntänyt tietojen keräämisen, mutta kertoo käyttävänsä niitä vain palvelunsa laadun parantamiseen ja virhetilanteiden löytämiseksi.
Instagramissa, Facebookissa ja vaikkapa AfterDawnin omistamassa uutiskeräimessä HIGH.FI Uutisvahdissa voi asetuksista vaihtaa linkit aukeamaan käyttöjärjestelmän omassa selaimessa, sovelluksen sisäisen selaimen sijaan. Tällöin laaja seuranta muuttuu mahdottomaksi. TikTokin kannalta raskauttavaa on se, että TikTokissa ei voi vaihtaa linkkejä aukeamaan ulkoisessa selaimessa, vaan ne avataan aina sovelluksessa itsessään.
🔥 New Post: Announcing InAppBrowser - see what JavaScript commands get injected through an in-app browser
— Felix Krause (@KrauseFx) August 18, 2022
👀 TikTok, when opening any website in their app, injects tracking code that can monitor all keystrokes, including passwords, and all taps.https://t.co/TxN1ezZX71 pic.twitter.com/pQcX5vrEXc
Ongelman nopea ratkaisu on tietysti se, että jos TikTokin käyttöä jatkaa, ei klikkaa sovelluksessa mitään linkkejä. Pitkällä tähtäimellä paine yhtiötä kohtaan varmasti kasvaa ja on todennäköistä, että ainakin mahdollisuus linkkien avaamiseksi ulkoisessa selaimessa tulee tarjolle. Sekään ei isossa kuvassa asioita muuta, kun muistaa, että käyttäjien valtaosa ei juurikaan sovellusten asetuksiin koskaan koske.