Navegador do TikTok registra senhas e dados de cartões, diz pesquisador

Usuários do TikTok, cuidado: parece que o aplicativo está prestando atenção além de suas preferências entre vídeos de gatinhos ou dancinhas. Um pesquisador de segurança revelou que a rede social dos vídeos curtos incluem códigos que permitem que a ByteDance monitore tudo o que é digitado dentro do programa – incluindo senhas e números de cartão de crédito.

Segundo o pesquisador em sistemas Felix Krause, o TikTok teria, em uma parte de seu código-fonte em JavaScript, uma espécie de registro dessas informações — inclusive, do que é acessado através de seu navegador interno, quando você clica em um link dentro do app que te redireciona para fora, por exemplo.

“É o equivalente de um keylogger, aquele programa que monitora o que você tecla. Isso inclui senhas, cartões de crédito, e qualquer outra informação sensível que pode ser retirada de lá”, afirmou ele ao Insider.

Krause não garantiu que a rede social chinesa use de fato a ferramenta para coletar dados sensíveis dos usuários, muito menos que estas informações estejam sendo usadas. A rede social encara críticas de autoridades de privacidade no ocidente por invasões de privacidade.

TikTok rebate acusações

A rede social da ByteDance nega que o recurso seja um keylogger, afirmando, ao invés disso, se tratar de uma espécie de ferramenta anti-fraude.

“É uma ferramenta anti-spam que checa o ritmo no qual as pessoas estão digitando para garantir que não é um bot, ou ainda alguma outra atividade maliciosa”, explicou o diretor de políticas do TikTok na América, Michael Beckermann, à CNN Internacional.

Em contrapartida, Krause afirma que a ferramenta ainda apresenta riscos em potencial.

“Digamos que as afirmações do TikTok sejam verdadeiras e eles não estejam coletando dados. Eles alegam não estar fazendo isso agora, mas isso pode mudar no futuro. Não estou dizendo que vai acontecer, mas é uma possibilidade, e isso por si só já é um problema.”

Um porta-voz da rede social, através de comunicado ao Insider, que as análises do pesquisador são “incorretas e enganosas”.

“O pesquisador diz especificamente que o código em JavaScript não significa que nosso app está fazendo algo malicioso, e adminite que não há maneira de saber que tipo de dado nosso navegador interno coleta. Ao contrário das alegações do relatório, nós não coletamos o que é teclado através desse código, que é usado apenas para solução de bugs, resolução de problemas, e monitoramento de performance.”

(*) Com informações de Insider