TikTok、アプリ内ブラウザでキー入力を監視か すまほん!!

 アメリカではFCC(連邦通信委員会)のコミッショナーがTikTokのサービス禁止をAppleとGoogleに提言したりと、何かと後ろ暗い話の絶えないTikTokですが、なんとiOSアプリにてユーザーの情報を無断で抜き取っている可能性があるようです。9to5Macや米Yahoo!など複数のメディアが伝えています。

 今回の情報の出どころは、アプリが不審な行為を行っていないか確認する「InAppBrowser」というサイトと、その開発者のFelix Krause氏。

 InAppBrowserは、TwitterやInstagramからリンクを開いた際に、外部ブラウザを開かずに直接ページを表示できるアプリ内ブラウザ機能を利用している際に、Javascriptを挿入していないか確認できるサイト。

意義は薄いものの、PCブラウザでも利用可能。画像は筆者がGoogle公式翻訳拡張機能を利用しようとしたところ

 同氏は、アプリ内ブラウザを独自実装しているいくつかのアプリを対象に、同ページを表示、情報を取得してみたところ、Snapchatや証券取引アプリのRobinhoodではいずれの情報の取得も行っていないことが判明したようです。

 また、Amazonアプリはウェブサイトのメタデータを取得していることが分かったようですが、セキュリティやプライバシー関連の問題を引き起こすことはなく、この情報の取得は無害。

 一方で、Facebook関連アプリやTikTokでは、アプリがページになんらかの変更を加えたことが検出されたとのこと。

 同氏は、アプリがサイトにJavascriptを挿入したからといって、悪意のある行為をしているとは限らないと述べていますが、TikTokは情報を取得している可能性が非常に濃厚であると報告。

 まず、TikTokのアプリ内ブラウザではkeypressやkeydownイベントにより、すべてのキー入力が取得されているとのこと。同氏はTikTokがこの情報を何に使うかはわからないものの、技術的にはキーロガーと同じと評しています。また、ユーザーがタップした画像やボタンなどの要素をすべて取得しているとのこと。

 さらに、TikTokアプリではデフォルトのブラウザで開くボタンが用意されていないとのこと。ユーザーに自社アプリの利用を強制させることにより、より効率的に情報を取得することができるでしょう。

 TikTokは各メディアの質問に対して、「このコードを介してキーストロークやテキスト入力を収集することはなく、パフォーマンスの監視のみに使用される」旨の返答をしているとのこと。

 これまでもTikTokはプライバシーに関する様々な疑惑の目を向けられている状況。今後の続報を注視したいところです。