Tener cuidado con los navegadores dentro de la aplicación" es una regla general que deberÃa aplicar cualquier usuario para utilizar aplicaciones móviles consciente de la privacidad, dado el potencial de una aplicación para aprovechar su control sobre la atención del usuario para espiar lo que está mirando a través del software del navegador que también controla. Sin embargo, el comportamiento del navegador de TikTok ha levantado sospechas después de que una investigación independiente sobre la privacidad realizada por el desarrollador Felix Krause descubriera que la aplicación de la red social para iOS inyectaba un código que podÃa permitirle monitorizar todas las entradas y pulsaciones del teclado. También conocido como keylogging.
"TikTok iOS se suscribe a todas las pulsaciones del teclado (entradas de texto) que ocurren en los sitios web de terceros representados dentro de la aplicación TikTok. Esto puede incluir contraseñas, información de la tarjeta de crédito y otros datos sensibles del usuario", advierte Krause en una entrada del blog que detalla los hallazgos. "No podemos saber para qué usa TikTok la suscripción, pero desde una perspectiva técnica, esto es el equivalente a instalar un keylogger en sitios web de terceros".
Después de publicar un informe la semana pasada (centrado en la posibilidad de que las aplicaciones de Facebook e Instagram para iOS de Meta rastreen a los usuarios de sus navegadores in-app) Krause siguió con el lanzamiento de una herramienta, llamada InAppBrowser.com, que permite a los usuarios de aplicaciones móviles obtener detalles del código que está siendo inyectado por los navegadores in-app mediante una lista de los comandos JavaScript ejecutados por la aplicación mientras rinde la página.
Krause utilizó la herramienta para elaborar un breve análisis comparativo de varias aplicaciones importantes que parece situar a TikTok a la cabeza en lo que respecta a los comportamientos con respecto a los navegadores integrados en la aplicación, debido al alcance de las entradas a las que se ha identificado la suscripción y al hecho de que no ofrece a los usuarios la opción de utilizar un navegador móvil predeterminado (es decir, en lugar de su propio navegador integrado en la aplicación) para abrir enlaces web. Esto último significa que no hay forma de evitar que se cargue el código de seguimiento de TikTok si se utiliza su aplicación para ver los enlaces; la única opción para evitar este riesgo para la privacidad es prescindir por completo de su aplicación y utilizar un navegador móvil para cargar directamente el enlace.
Krause tiene cuidado de señalar que el hecho de que haya descubierto que TikTok se suscribe a todas las pulsaciones de teclas que un usuario hace en sitios de terceros vistos dentro de su navegador de la aplicación no significa necesariamente que esté haciendo "algo malicioso" con el acceso, ya que, como señala, no hay forma de que las personas ajenas conozcan todos los detalles sobre qué tipo de datos se están recopilando o cómo o si se están transfiriendo o utilizando. Pero, claramente, el comportamiento en sà mismo plantea preguntas y riesgos de privacidad para los usuarios de TikTok.
Un portavoz de la empresa aseguró que el código JavaScript no significa que la aplicación esté haciendo algo malicioso y admite que no tienen forma de saber qué tipo de datos recoge nuestro navegador in-app. Al contrario de lo que afirma el informe, la app no recopila pulsaciones de teclas o entradas de texto a través de este código, que se utiliza únicamente para la depuración, la resolución de problemas y la supervisión del rendimiento.
TikTok argumenta que las entradas "keypress" y "keydown"(Pulsación de tecla en inglés) identificadas por Krause son entradas comunes, afirmando que es incorrecto hacer las suposiciones sobre su uso basándose sólo en el código destacado por la investigación.
Para respaldar esta afirmación, el portavoz señaló un código de GitHub que no es de TikTok y que, según sugirió, desencadenarÃa exactamente la misma respuesta citada por la investigación como prueba de la recopilación indebida de datos, pero que más bien se utiliza para activar un comando conocido como "StopListening" (dejar de escuchar) que, según dijo, impedirÃa especÃficamente que una aplicación capturara lo que se escribe.
Anteriormente TikTok habÃa sido acusado por el gobierno estadounidense por violar la privacidad de sus usuarios y también, incluso, durante el mandato de Donald Trump la app fue prohibida en Estados Unidos, hasta que el actual presidente decidió cambiar de parecer. Sin embargo, hace dos meses la existencia de la red social en EE.UU., estuvo nuevamente en peligro, debido a que, un comisionado de la Comisión Federal de Comunicaciones (FCC) envió una carta bastante explicita y clara a Google y Apple solicitando la eliminación de la red social de sus tiendas virtuales, ya que, según no expuesto en la carta TikTok violaba todas las normas de privacidad y compartÃa cualquier información con el gobierno chino; el comisionado les otorgó un plazo hasta el 8 de julio, orden que finalmente no se cumplió puesto que dÃas antes la compañÃa asiática aseguró que cumplirÃa y respetarÃa todas las normas solicitadas por el paÃs norteamericano.