アメリカではFCC(連邦通信委員会)のコミッショナーがTikTokのサービス禁止をAppleとGoogleに提言したりと、何かと後ろ暗い話の絶えないTikTokですが、なんとiOSアプリにてユーザーの情報を無断で抜き取っている可能性があるようです。9to5Macや米Yahoo!など複数のメディアが伝えています。
今回の情報の出どころは、アプリが不審な行為を行っていないか確認する「InAppBrowser」というサイトと、その開発者のFelix Krause氏。
InAppBrowserは、TwitterやInstagramからリンクを開いた際に、外部ブラウザを開かずに直接ページを表示できるアプリ内ブラウザ機能を利用している際に、Javascriptを挿入していないか確認できるサイト。
同氏は、アプリ内ブラウザを独自実装しているいくつかのアプリを対象に、同ページを表示、情報を取得してみたところ、Snapchatや証券取引アプリのRobinhoodではいずれの情報の取得も行っていないことが判明したようです。
また、Amazonアプリはウェブサイトのメタデータを取得していることが分かったようですが、セキュリティやプライバシー関連の問題を引き起こすことはなく、この情報の取得は無害。
一方で、Facebook関連アプリやTikTokでは、アプリがページになんらかの変更を加えたことが検出されたとのこと。
同氏は、アプリがサイトにJavascriptを挿入したからといって、悪意のある行為をしているとは限らないと述べていますが、TikTokは情報を取得している可能性が非常に濃厚であると報告。
When opening a website from within the TikTok iOS app, they inject code that can observe every keyboard input (which may include credit card details, passwords or other sensitive information)
TikTok also has code to observe all taps, like clicking on any buttons or links. pic.twitter.com/Dcv0N4ccKD
— Felix Krause (@KrauseFx) August 18, 2022
まず、TikTokのアプリ内ブラウザではkeypressやkeydownイベントにより、すべてのキー入力が取得されているとのこと。同氏はTikTokがこの情報を何に使うかはわからないものの、技術的にはキーロガーと同じと評しています。また、ユーザーがタップした画像やボタンなどの要素をすべて取得しているとのこと。
さらに、TikTokアプリではデフォルトのブラウザで開くボタンが用意されていないとのこと。ユーザーに自社アプリの利用を強制させることにより、より効率的に情報を取得することができるでしょう。
TikTokは各メディアの質問に対して、「このコードを介してキーストロークやテキスト入力を収集することはなく、パフォーマンスの監視のみに使用される」旨の返答をしているとのこと。
これまでもTikTokはプライバシーに関する様々な疑惑の目を向けられている状況。今後の続報を注視したいところです。