ipt 程式碼,允許 TikTok 監控用戶瀏覽網頁的任何鍵盤輸入與點擊操作。TikTok 坦承該程式碼的存在,但否認用於非正當目的。
圖片來源/Solen Feyissa
「從技術角度來看,相當於在第三方網站上安裝鍵盤側錄器。」Felix Krause 表示,TikTok 可藉此監控用戶於網站鍵入的任何字元,可能包括密碼、信用卡等敏感資訊;同時亦可追蹤網站上點擊的圖片、網址連結或任意按鍵。
雖然報告中未含 TikTok 蒐集用戶敏感數據的證據,但卻是研究測試的七款 iOS 版內建瀏覽器中,唯一有能力監測鍵入指令的 app,其餘六款 app 為 Facebook、Messenger、Instagram、Snapchat、Amazon、Robinhood。
TikTok 發言人透過《Forbes》坦承該 JavaScript 程式碼的存在,並稱其僅限於故障排除、性能監控等正當用途,目的是為確保最佳的使用者體驗。「與其他平台相同,我們使用內建瀏覽器提供最佳的使用者體驗,但相關的 JavaScript 程式碼僅用於體驗上除錯、故障排除、性能監測,譬如檢查頁面載入速度或當機與否。」
另一方面,Krause 上週點名 iOS 版 Facebook 與 Instagram,二者內建瀏覽器也能追蹤用戶網頁活動,包括點擊按鈕、連結、圖片等。Meta 對此回應,加入該程式碼初衷,是出自對用戶的 ATT 選擇的尊重。ATT 指的是蘋果去年推出的 App 透明化追蹤(App Tracking Transparency)。
Krause 建議,若要避免被 app 開發商監控網站活動,盡量選擇使用外部瀏覽器,譬如 iPad、iPhone 的 Safari。假使 app 內建瀏覽器不提供轉跳按鈕,譬如 TikTok,可複製該網頁的 URL 網址;如果連網址都沒有,可嘗試複製網頁上的連結網址,再透過外部瀏覽器繼續瀏覽網頁。
