TikTokの内蔵ブラウザーがキー入力を監視と報道。TikTok側は障害調査用だと否定 94
ストーリー by nagazou
用途は聞いていない 部門より
用途は聞いていない 部門より
TikTokのアプリ内ブラウザに、キーロガー的な機能が組み込まれていることが判明して話題となっている。TikTokのiOSアプリでTikTok外のサードパーティWebサイトを開くと、アプリ内Webブラウザが特殊なJavaScriptコードを使い、TikTok側がユーザーのーボード入力や画面のタップ情報を入手できるようにしているのだという。この研究内容はプライバシー研究者のFelix Krause氏が8月19日に公開したもの(Felix Krause氏のレポート、CNET、ITmedia、PHILE WEB、ねとらぼ、GIZMODO)。
このレポートに対しTikTok側は反論をおこなった。曰く、そうした機能がコード内に存在することは認めたものの、TikTokはそれをユーザー追跡に使用していないと主張。指摘されているJavaScriptコードは、ページの読み込み速度やクラッシュするかどうかのチェックなどに使用されているとしている。この反論に対し、ニューヨーク・タイムズ記者がツッコミを入れている。曰く「フェリック氏は入力内容の収集を実施したと主張していない」「収集ができるコードがアプリ内に含まれていると指摘しているのみだ」と指摘している。
あるAnonymous Coward 曰く、
このレポートに対しTikTok側は反論をおこなった。曰く、そうした機能がコード内に存在することは認めたものの、TikTokはそれをユーザー追跡に使用していないと主張。指摘されているJavaScriptコードは、ページの読み込み速度やクラッシュするかどうかのチェックなどに使用されているとしている。この反論に対し、ニューヨーク・タイムズ記者がツッコミを入れている。曰く「フェリック氏は入力内容の収集を実施したと主張していない」「収集ができるコードがアプリ内に含まれていると指摘しているのみだ」と指摘している。
あるAnonymous Coward 曰く、
TikTok側は「このコードはデバッグ、トラブルシューティング、パフォーマンス監視にのみ使用されている」とコメントしていますが、故意に収集はしていないというだけで、デバッグ用にキー入力を取っていた可能性は否定していない?
TikTokといいSimejiといい (スコア:5, すばらしい洞察)
中国製アプリは使わないに限りますな。
Re: (スコア:0)
それはそうなんだけど、中共製コードが含まれていないソフトウェアがどれだけ存在するものか……
外食中食で中国産野菜を避けるのと同じくらい無理ゲーだと思う。
Re: TikTokといいSimejiといい (スコア:1)
スマホみたいな常時接続の(PCを含む)ネット端末は常に監視されてるものとして対応すべきよ。
最早お諦めの境地で、会社用と個人用で分けるぐらいの対策しかないんじゃなじゃろうか。
#ちなみに会社は大きな拠点が中国やベトナム、インドネシア等にあるので、WeChat、Zalo、WhatsAppのメッセンジャー欲張りセットになってるし、個人用もtwitter、LINE、Discode、skypeとなってるから今更って感じ。
Re: (スコア:0)
この場合重要なのは、どこの息が掛かってるのか、ヘッドはどっち向いてるのかってことだろう
Re: Re: Re: TikTokといいSimejiといい (スコア:3, 興味深い)
例えばWindowsは中国にも開発チームがある(中国語MS-IMEは彼らじゃないと作れない)けど、Microsoftは米国の息が掛かってて米国の方を向いてる米国企業だっていう信頼があるから普通に使えてるわけで
逆にLINEは散々米国の息が掛かってる韓国企業だって言われてて、日本にデータを保存していると謳いながらも実は韓国にメディアデータを保存していたことが発覚したわけだよね
中共製コードが含まれているかどうかではなく、どこの息が掛かってるのか、ヘッドはどっち向いてるのかで判断するのは、そんなに難しい話ではないと思うよ
Re:TikTokといいSimejiといい (スコア:1)
中国は、中国の国内法で、企業に対して海外向けのスパイ活動をしろ、っていう法律があるんですよ。
中国共産党からスパイ機能組み込めって要請されたら拒否できない。
そういう国の会社を信用できるかというと、できるわきゃないのよね…。
ユーザーとの契約とか日本その他中国国外の法律よりも、中国共産党の要請が優先される社会だから。
信用しろって方が無理。
主語がないなー (スコア:3, 興味深い)
中国共産党による障害調査ようですかね
Re: (スコア:0)
中国共産党に一生涯にわたって調査されたくないのでTikTokは使いません(キリッ)
Re: Re:主語がないなー (スコア:2, 興味深い)
中国政府が異例の関与、バイトダンスの国内部門に取締役派遣
https://www.bloomberg.co.jp/news/articles/2021-08-17/QXZ2C6DWLU6I01
笑い事じゃないくらいに大きな影響があるんだけどね。
Re: (スコア:0)
多分自分の人生にはTikTokは要らない。
Re: (スコア:0)
そういう人に限ってTikTokで若者向けマーケティングしろって業務命令降ってきたりするんですよね。
Re: (スコア:0)
降ってきてから考えます
Re: (スコア:0)
降ってきたところでやりたくない仕事を嫌々やってもらっても会社としても困るので拒否したほうがいいよ
Re: ぼくの知っている本物の男は「生きて腸まで届く乳酸菌」に対して「尻から入れれば速いのに」という (スコア:1)
TikTokに登録するとAmazonギフト券がもらえるキャンペーン、TikTokブラウザからAmazonにログインすることになるので貰わなかったのを思い出した
あなたが良くても自分はとても嫌ですね
使えるようにしておくことに意味があるんだろうな (スコア:2)
おおかた、上からの方針で、普段は使わないけどバックドアで情報収集手段を確保しておけという指示でもされてるんだろ。
その理由は知らんが、クラッシュしたときのためのロガーなんて、普段から動かしてデータ収集してないとほとんど意味がない。
TikTokerがサポートの指示に従って再現テストやってくれるならともかく、そんなこと開発スタッフすら期待してないだろう。
この手の騒ぎが起きてるアプリって他にもいくつかあるし、同じような騒ぎが起きて同じような言い訳してるアプリやらIoT機器の共通点を洗い出していけば、誰の意向でそうなってるかくらいはわかるんじゃない?
スパイウエア禁止しろ (スコア:2, すばらしい洞察)
TikTokがスパイウエアなのは周知の事実なのに、これでプロモーションやってる日本企業が未だにいるんだよなぁ
統一教会と同じように、中共シンパも洗い出さないと危ない
Re:スパイウエア禁止しろ (スコア:2, すばらしい洞察)
tiktokはガキとそれを狙うおっさんしか使ってないからまだ問題ない。
LINEなんて国あげてマイナンバー使うサービスいれてこうとしてるからな。
Re: (スコア:0)
LINEは一応国内に法人があるから国内法を適用できる。
TikTokって国内法人あったっけ?
インスタとかも・・・ (スコア:2, 興味深い)
アプリ内ブラウザがJavaScriptインジェクションをしているかどうかをチェックするとTikTokだけでなく、
Instagram・Facebook Messenger・Amazonのアプリでもインジェクションやページ変更をしてるとのこと。
インジェクション≠キーロガーだけど、なんらかの情報収集をしてるには変わりない。
https://gigazine.net/news/20220822-in-app-browser-javascript/ [gigazine.net]
#スマホは情報収集されるものと諦めるしかない?
Re: (スコア:0)
>スマホは情報収集されるものと諦めるしかない?
androidを使っているなら諦めるしか無いんじゃない?そういう会社が作っているんだから。
今回のアプリ内閲覧webの情報収集はiOSのプライバシーポリシー変更が大きかった結果でしょ?
iOSならある程度は守れるんじゃないかな
Re: (スコア:0)
いやこれiOSアプリでJavaScriptインジェクションされてたって話だぞ
Re: (スコア:0)
warota
Re: (スコア:0)
今の情報収集は本当にすごい。
例えばPCのブラウザーでヤフオクにアクセスして閲覧した商品が、スマホのインスタアプリ内で広告として表示されてる。PCとスマホをどうやって紐づけてるんだろう。
#今のところ実害はないけど気持ち悪い。データは永久に残される可能性あるから使われ方によっては将来実害出るかもしれないし
Re:インスタとかも・・・ (スコア:1)
同じWiFiから接続していましたなんてオチじゃないよな?
Re: (スコア:0)
Amazonのアプリってブラウザ開くような挙動、あったっけ?
買い物する(AmazonのWebサイトでやれることをやる)だけだよな?
アプリで見る気しない (スコア:1)
スマホの小さい画面で動画見る気になれないわ
PCの大画面で見たい
タブレットなら許容範囲内
Re: (スコア:0)
PCなんてたかだか40インチ程度だろ。プロジェクター内蔵スマホの200インチ大画面で楽しもうぜ
https://simtaro.com/phone-blackview-max1/ [simtaro.com]
#720P
真っ黒ですね (スコア:1)
真っ赤と言った方がいいかも
「フェリック氏は入力内容の収集を実施したと主張していない」 (スコア:0)
いきなり登場する、この「フェリック氏 [itmedia.co.jp]」とやらは誰だ?
Re: (スコア:0)
「あれ?なに否定してんの?やってるとは言ってないよ(ニヤニヤ」
って意味なら、揚げ足取りにもほどがある
Re: (スコア:0)
> いきなり登場する、この「フェリック氏 [itmedia.co.jp]」とやらは誰だ?
文中にある「プライバシー研究者のFelix Krause氏」がフェリック氏ですよ。笑
Re: (スコア:0)
ああ、昔よく聞いた「♪スーがスーッと消えて」って奴ですか。
スーがスーッと消えて (スコア:2)
さすがは高齢化の最先端掲示板、スラド。
50年前と思われる懐古ネタがサラッと出てくるあたりが渋い。
まあ気づいた人間も古いと言われるとその通りであるが。
Re:スーがスーッと消えて (スコア:2)
パーマンの歌って40年もたってない気がするけど…初出は知らんですが
Re: (スコア:0)
少し前にdアニメでパーマンやってたんで再放送の世代は沢山いるだろうな
#私も
Re: (スコア:0)
その歌詞は2作目のと記憶しているから40年位前では無いかと
Re: (スコア:0)
スラドの誤字規則的には、 "Linus氏"(一般にリーナス氏と記載される)を"リーナス氏"や"リナックス氏"とするから、
"Felix氏"(おそらくフィリックス氏)は"フェリックス氏"か"フェリッナス氏"となるはず。
#if DEBUG (スコア:0)
そんなんデバッグビルドにだけ入れときゃええやん。
障害報告時に添付するってこと?
それもう普通にキーロガーだよ。
エラーレポートのデータって普通でもいろんな情報含まれてるけど。
特定サイトで落ちるみたいな話でそういう情報が欲しい状況もあるかも知れないけど、ブラウザの問題はどうしようもない訳でかなり無理があるな。
悪意はともかくセキュリティ意識の低さは中国系のアルアルだけど、さすがにわざとじゃないかな?
Re:#if DEBUG (スコア:1)
デバッグビルドだと本当の(障害が発生したと報告してる)ユーザに届かないからね…
Re: (スコア:0)
マスキングしたらいいと思うんだけどあえて平文で送るというね
まぁ、知ってた (スコア:0)
どんな風に何をやってるかは知らなかったけど、中国製って時点で十分に予想できてた。
さすが期待を裏切らない。チャイナクオリティは優秀だ。
ーボード (スコア:0)
「ーボード」って何?
またnagazou?
Re:ネトウヨ歓喜 (スコア:2)
普通に書けばいいのに何でそんな煽り口調なんや
決めつけから入って無駄に煽るとかやる人が他人をネトウヨ呼ばわりしても説得力出ないよ
Re:ネトウヨ歓喜 (スコア:2)
こんなお小言釣っておもろいんか…?
これで誰かの心が多少でも癒やされたんなら幸いやな
Re: (スコア:0)
2009年の時点でUIWebViewで色々Javascript動かせた記憶があるけど、最近の発覚以前の話だよ。
いつか騒ぎになると思ってたけどな。
Re: (スコア:1)
技術的に可能ってのと実際やってるかは別の話。
データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
しかしまぁ、ブラウザで一通りの活動ができるSNSで、
軽量化と通知の安定化くらいしか期待してないアプリ版では要求権限山盛りなの、
ずっと胡散臭く思ってたがアプリ内ブラウザにまで仕込みを入れているとは……
ブラウザ上で動くサービスじゃなくて、ブラウザを内包して
ユーザの全行動の基盤に成り代わりたいとかそういう事なのかな。
Re: (スコア:1)
>技術的に可能ってのと実際やってるかは別の話。
>データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
それが外部から判別不可能って事実があるよね
任意のjsをインジェクション出来る以上、そのコードがある日突然変わる可能性なんて誰も否定できないし。
同じ問題を抱えていたchromeのブラウザ拡張は最新のマニフェストだと動的なコードをインジェクトする事ができなくなった。
具体的には、アプリの中にアセットとして組み込んだ静的なjsファイルしかインジェクションできなくなった。
出来ることがものすごい成約されたけど、もうリリースされて動いている。
アプリのwebviewもそうなるんかなあ
マニフェストに定義させて、webviewの中で任意のドメインしか通信できないようにするとか
でもwebviewからネイティブに情報を送れる以上、webviewはfacebookとしか通信しないけど、ネイティブはevil[.]comと通信するのは止められないし
Re: (スコア:0)
で、君は何者?
Re: (スコア:0)
>ネトウヨの中ではそういう中国叩きに都合の悪いものは見なかったことになる
これもまた「どうせ」論である
右も左も極端なワード使われると話半分でしか聞けなくなる
Re: (スコア:0)
パヨクは祖国に帰れよw