パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

TikTokの内蔵ブラウザーがキー入力を監視と報道。TikTok側は障害調査用だと否定」記事へのコメント

  • ネトウヨ歓喜 (スコア:-1, フレームのもと)

    by Anonymous Coward on 2022年08月25日 23時08分 (#4312827)

    決め付け的な「どうせ」論ばかりで、スラド的な技術考察がほとんどないのがまた5ch化してると言われる所以なのだろうな
    Felix Krause氏のページ [krausefx.com]とか1ミリも読んでなさそう

    技術に詳しくない読者向けの FAQ

    • アプリ内ブラウザは、私がオンラインで行うすべてのことを読み取ることができますか? はい、アプリ内ブラウザを介して閲覧している場合、技術的には可能です。
    • 上記のアプリは実際に私のパスワード、住所、クレジット カード番号を盗みますか? いいえ! 私は、悪意のある人物がこのアプローチでこのデータにアクセスできることを示したかったのです。 過去に示されているように、企業がユーザーに許可を求めることなく合法的かつ無料でデータにアクセスできる場合、企業はそれを追跡します。
    • どうすれば身を守ることができますか? 任意のアプリからリンクを開くたびに、現在表示されている Web サイトを既定のブラウザーで開く方法がアプリに用意されているかどうかを確認してください。 この分析中に、TikTok 以外のすべてのアプリがこれを行う方法を提供しました。
    • 企業は意図的にこれを行っていますか? 独自のアプリ内ブラウザーを構築するには、過去 7 年間 iPhone に既に組み込まれているプラ​​イバシーとユーザーフレンドリーな代替手段を使用するだけでなく、プログラミングと維持にかなりの時間がかかります。 ほとんどの場合、会社がこれらの Web サイトでのユーザーのアクティビティを追跡する動機がそこにあります。
    • アプリ内で InAppBrowser.com を開きましたが、コマンドが表示されません。 私は安全ですか? いいえ! まず第一に、Web サイトは何百もの攻撃ベクトルのうちの 1 つ、つまりアプリ自体からの JavaScript インジェクションのみをチェックします。 そして、2020 年 12 月の時点で、アプリ開発者は実行する JavaScript コマンドを完全に隠すことができるため、内部で実際に何が起こっているかを確認する方法はありません。

    そもそもこれ今月10日にInstagramとFacebookで発覚した [krausefx.com]のが発端で、中国製アプリがヤバいとかそういう話じゃないんだよな
    ブログタイトルが"iOS Privacy:"となっていることからもわかるように、比較的安全と思われていたiOSでも容易にプライバシー侵害が可能って部分がミソなわけで
    TikTokだけじゃなくてInstagram、Facebook Messenger、AmazonのアプリでもJavaScriptコードの挿入によるページ変更やメタデータの収集が明らかになっているのだが、ネトウヨの中ではそういう中国叩きに都合の悪いものは見なかったことになる
    まあせいぜいモデレータは頑張ってくれたまへよ

    • by nnnhhh (47970) on 2022年08月26日 9時48分 (#4312944) 日記

      普通に書けばいいのに何でそんな煽り口調なんや
      決めつけから入って無駄に煽るとかやる人が他人をネトウヨ呼ばわりしても説得力出ないよ

      親コメント
    • by Anonymous Coward

      2009年の時点でUIWebViewで色々Javascript動かせた記憶があるけど、最近の発覚以前の話だよ。
      いつか騒ぎになると思ってたけどな。

      • by Anonymous Coward on 2022年08月26日 1時37分 (#4312865)

        技術的に可能ってのと実際やってるかは別の話。
        データ盗む気が無いのと盗む下準備バッチリ済ますのも別。

        しかしまぁ、ブラウザで一通りの活動ができるSNSで、
        軽量化と通知の安定化くらいしか期待してないアプリ版では要求権限山盛りなの、
        ずっと胡散臭く思ってたがアプリ内ブラウザにまで仕込みを入れているとは……
        ブラウザ上で動くサービスじゃなくて、ブラウザを内包して
        ユーザの全行動の基盤に成り代わりたいとかそういう事なのかな。

        親コメント
        • by Anonymous Coward on 2022年08月26日 2時52分 (#4312874)

          >技術的に可能ってのと実際やってるかは別の話。
          >データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
          それが外部から判別不可能って事実があるよね
          任意のjsをインジェクション出来る以上、そのコードがある日突然変わる可能性なんて誰も否定できないし。

          同じ問題を抱えていたchromeのブラウザ拡張は最新のマニフェストだと動的なコードをインジェクトする事ができなくなった。
          具体的には、アプリの中にアセットとして組み込んだ静的なjsファイルしかインジェクションできなくなった。
          出来ることがものすごい成約されたけど、もうリリースされて動いている。
          アプリのwebviewもそうなるんかなあ

          マニフェストに定義させて、webviewの中で任意のドメインしか通信できないようにするとか
          でもwebviewからネイティブに情報を送れる以上、webviewはfacebookとしか通信しないけど、ネイティブはevil[.]comと通信するのは止められないし

          親コメント
          • by Anonymous Coward

            これTampermonkey使えなくなるから例外を認めて欲しい

            • by Anonymous Coward

              Tampermonkeyどうすんの? って話がuBlockの次くらいに話題になってたけど結局何もしないでTampermonkey死亡なのか

        • by Anonymous Coward

          > データ盗む気が無いのと盗む下準備バッチリ済ますのも別。

          そもそも本当に悪用するつもりなら「下準備」なんて要らない
          ある日突然コードを書き換えれば済む話なので
          よって、それらを区別する必要がない

    • by Anonymous Coward

      で、君は何者?

      • by Anonymous Coward

        そいつが何者かが関係あるのか? ACなんだから重要なのは何を言ってるのかだろ

        • by Anonymous Coward

          ならネトウヨかどうかも関係ないだろ

    • by Anonymous Coward

      >ネトウヨの中ではそういう中国叩きに都合の悪いものは見なかったことになる
      これもまた「どうせ」論である

      右も左も極端なワード使われると話半分でしか聞けなくなる

    • by Anonymous Coward

      パヨクは祖国に帰れよw

    • by Anonymous Coward

      どうしてネトウヨどうのって言う人に鍵って、他でもやっていた事だから中国がやってもいいだろみたいな擁護の仕方をするんだろうな。
      中国がハッキングしててもNSAもやってるからいいだろとか言い出すし、何がしたいんだろうな。

      • by Anonymous Coward

        中国を擁護しているんじゃなくて同じように非難しろってことだろう
        アメリカの人がアメリカに都合割ることに口を拭って中国企業をあげつらうのを文面だけ見て中国「だけ」悪いと受け取るやつがいるのはまぁ事実だからな
        元コメは口は悪いが言ってることは「中国擁護」でない

        • by Anonymous Coward

          まずは目的が全く違うって点と企業と国っていう対象も違うって理解をしていない。
          facebookもamazonも目的は所詮広告
          一方で中国は諜報活動込みだよ
          それをプライバシー問題だからと囲って全体的な問題とするのって中国アプリの危険性を隠すだけだよ。

          • by Anonymous Coward

            FacebookやAmazonのJSインジェクションが広告目的だという根拠はない
            TikTokのJSインジェクションが国家的諜報活動込みだという根拠もない
            実際の挙動もコードも確認してない奴が想像で決め付けてる域を出ない

            • by Anonymous Coward

              FacebookやAmazonのJSインジェクションが広告目的以外に使われたと判明したら裁判で償う事になるし、実際にそうした判決は過去にも出ている。
              TikTokのJSインジェクションが国家的諜報活動込みだと分かっても中

        • by Anonymous Coward

          仮想敵国と同盟国を同列に扱えと?そんな無茶なw

    • by Anonymous Coward

      LINEへの批判は全部ネトウヨとかレッテル貼りをして、LINEの問題を放置させてきた黒歴史をもう忘れたんだろうか。 何と闘っているのか知らないけど、少なくとも都合の良いネトウヨって人形を作って叩いて遊ぶ姿を見せられるのって気持ち悪いよ。

    • by Anonymous Coward

      こうやって中国のために一生懸命働く連中って、いざ自分の国が中国に占領されたときに自分だけは助けてもらえるって思ってるのかな。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...