Quando gli utenti di TikTok accedono a un sito web attraverso un link presente nell’app, TikTok inserisce un codice che può monitorare gran parte della loro attività su quei siti esterni, compresi i tasti premuti e qualsiasi cosa, link inclusi, tocchino sulla pagina. Lo spiega una nuova ricerca pubblicata da Forbes. Il tracciamento permetterebbe ad esempio a TikTok di catturare anche i dati della carta di credito o la password di un utente.
TikTok è in grado di monitorare questa attività grazie alle modifiche che apporta ai siti web utilizzando il browser in-app, che fa parte dell’app stessa. Quando le persone toccano gli annunci di TikTok o visitano i link sul profilo di un creator, l’app non apre la pagina con i normali browser come Safari o Chrome. Si apre invece un browser in-app creato da TikTok che è in grado di riscrivere parti delle pagine web. TikTok può iniettare righe del linguaggio di programmazione JavaScript nei siti web visitati all’interno dell’app, creando nuovi comandi che avvisano TikTok di ciò che le persone stanno facendo in quei siti.
“Si tratta di una scelta attiva dell’azienda”, ha dichiarato Felix Krause, ricercatore software di Vienna, che giovedì ha pubblicato un rapporto sulle sue scoperte. “Si tratta di un compito ingegneristico non banale. Non si tratta di un errore o di una scelta casuale”. Krause è il fondatore di Fastlane, un servizio per la distribuzione di applicazioni, che Google ha acquisito cinque anni fa.
Tiktok ha respinto con forza l’idea che stia tracciando gli utenti nel suo browser in-app. La società ha confermato l’esistenza di queste funzioni nel codice, ma ha smentito che TikTok le utilizzi.
“Come altre piattaforme, utilizziamo un browser in-app per fornire un’esperienza utente ottimale, ma il codice JavaScript in questione viene utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni di tale esperienza, come la verifica della velocità di caricamento di una pagina o l’eventuale crash”, ha dichiarato la portavoce di TikTok, Maureen Shanahan, in un comunicato.
L’azienda ha dichiarato che il codice JavaScript fa parte di un kit di sviluppo software di terze parti, o SDK, un insieme di strumenti utilizzati per costruire o mantenere le applicazioni. L’SDK include funzioni che l’app non utilizza, ha dichiarato l’azienda. TikTok non ha però risposto a domande sull’SDK o su quale sia la casa produttrice.
Sebbene la ricerca di Krause riveli il codice che aziende come TikTok e Meta iniettano nei siti web dai loro browser in-app, la ricerca non dimostra che queste aziende stiano effettivamente utilizzando tale codice per raccogliere dati, inviarli ai loro server o condividerli con terze parti. Lo strumento non rivela nemmeno se una qualsiasi attività sia legata all’identità o al profilo di un utente. Anche se Krause è riuscito a identificare alcuni esempi specifici di ciò che le app possono tracciare (come la capacità di TikTok di monitorare i tasti premuti), ha detto che il suo elenco non è esaustivo e che le aziende potrebbero monitorare anche altro.
La nuova ricerca segue un report della scorsa settimana, sempre di Krause, sui browser in-app, che si è concentrato in particolare sulle app di proprietà di Meta: Facebook, Instagram e Facebook Messenger. WhatsApp, anch’essa di proprietà della società, sembra essere al sicuro perché non utilizza un browser in-app.
Per la sua nuova ricerca, Krause ha testato sette applicazioni per iPhone che utilizzano browser in-app: TikTok, Facebook, Facebook Messenger, Instagram, Snapchat, Amazon e Robinhood. Non ha testato invece le versioni per Android, il sistema operativo mobile di Google.
Delle sette applicazioni esaminate da Krause, TikTok è l’unica che sembra monitorare i tasti premuti e sembra in grado di controllare più attività rispetto alle altre. Snapchat, al contrario, pare essere il meno avido di dati. Il suo browser in-app non inietterebbe nuovo codice nelle pagine web. Tuttavia, le app hanno la possibilità di nascondere la loro attività JavaScript ai siti web (come lo strumento di Krause) grazie a un aggiornamento del sistema operativo Apple effettuato nel 2020. È quindi possibile che alcune app eseguano comandi senza essere rilevate. Snapchat non ha risposto a una richiesta di commento su quale attività, se esiste, viene monitorata sul suo browser in-app.
Il browser in-app non è così diffuso su TikTok come su Instagram. TikTok non consente agli utenti di fare click sui link nei DM, quindi il browser in-app viene visualizzato di solito quando le persone fanno click sulla pubblicità o link sul profilo di un creatore o di un marchio.
La ricerca sul tracciamento del browser arriva mentre TikTok, di proprietà della società madre cinese ByteDance, affronta un intenso scrutinio sui limiti della sua potenziale sorveglianza e sulle domande relative ai suoi legami con il governo cinese. A giugno, BuzzFeed News ha riferito che i dati degli utenti statunitensi erano stati ripetutamente consultati dalla Cina. L’azienda sta anche lavorando attualmente per spostare informazioni degli utenti statunitensi negli Stati Uniti, per conservarle in un centro dati gestito da Oracle, in uno sforzo internamente noto come Project Texas.
Ma il potenziale tracciamento potrebbe anche compromettere la privacy relativa alle elezioni. Mercoledì TikTok ha annunciato i suoi sforzi per l’integrità elettorale, in vista delle elezioni di metà mandato negli Stati Uniti. L’iniziativa comprende un nuovo Elections Center, che mette in contatto le persone con informazioni autorevoli provenienti da fonti affidabili, tra cui la National Association of Secretaries of State e Ballotpedia.
TikTok utilizza il suo browser in-app per aprire questi siti web. Lo strumento analitico di Krause suggerisce che TikTok potrebbe avere accesso a informazioni, permettendo all’azienda di tracciare l’indirizzo, l’età e il partito politico di qualcuno. Tuttavia TikTok nega questa ipotesi, sottolineando ancora che le funzioni di tracciamento esistono nel codice, ma l’azienda non le utilizza. Tuttavia, né Meta né TikTok hanno sezioni specifiche nelle loro politiche sulla privacy sui browser in-app che rivelano agli utenti queste pratiche di monitoraggio.
Alcuni esperti di privacy sono inoltre contrari al tipo di monitoraggio dei tasti che TikTok sembra essere in grado di effettuare. “È molto subdolo”, ha dichiarato Jennifer King, privacy and data policy fellow allo Stanford University Institute for Human-Centered Artificial Intelligence. “L’ipotesi che i dati di qualcuno vengano ‘preletti’ ancora prima di inviarli, credo che oltrepassi ogni limite di accettabilità”.
Krause ha concluso affermando che preferirebbe che il comparto non utilizzasse browser in-app, sfruttando al loro posto browser come Safari o Chrome, che di solito sono impostati come predefiniti sul telefono. In effetti, sia TikTok sia Meta offrono la possibilità di aprire i link in un altro browser, quello predefinito del telefono, ma solo in un secondo momento: entrambe le app portano prima ai rispettivi browser in-app. L’opzione di cambiare il browser si trova inoltre dietro una schermata di menu sia in TikTok sia in Instagram, già troppo ‘nascosta’ per la stragrande maggioranza degli utenti che non sanno nemmeno dell’esistenza di questa opzione.