Quando os usuários do TikTok entram em um site por meio de um link no aplicativo, o app insere um código que pode monitorar grande parte de sua atividade nesses sites externos, incluindo as teclas pressionadas e o que tocar na página, de acordo com uma nova pesquisa compartilhada com a Forbes. O rastreamento possibilitaria ao TikTok capturar as informações ou a senha do cartão de crédito de um usuário.
O TikTok tem a capacidade de monitorar essa atividade devido às modificações que faz nos sites usando o navegador do aplicativo da empresa, que faz parte do próprio aplicativo. Quando as pessoas tocam nos anúncios do TikTok ou visitam links no perfil de um criador, o aplicativo não abre a página com navegadores normais, como Safari ou Chrome. Em vez disso, o padrão é um navegador no aplicativo criado pelo TikTok que pode reescrever partes de páginas da web.
Com isso, a plataforma pode rastrear essa atividade injetando linhas da linguagem de programação JavaScript nos sites visitados no aplicativo, criando novos comandos que alertam o TikTok sobre o que as pessoas estão fazendo nesses sites.
Leia mais: Instagram e TikTok polarizam disputa pela atenção de marcas e creators
“Esta foi uma escolha ativa que a empresa fez”, disse Felix Krause, pesquisador de software com sede em Viena, que publicou um relatório sobre suas descobertas na quinta-feira. “Esta é uma tarefa de engenharia não trivial. Isso não acontece por engano ou aleatoriamente.” Krause é o fundador do Fastlane, um serviço de teste e implantação de aplicativos, que o Google adquiriu há cinco anos.
O TikTok rejeitou fortemente a ideia de que está rastreando usuários em seu navegador no aplicativo. A empresa confirmou que esses recursos existem no código, mas disse que o app não os está usando.
“Como outras plataformas, usamos um navegador no aplicativo para fornecer uma experiência ideal ao usuário, mas o código JavaScript em questão é usado apenas para depuração, solução de problemas e monitoramento de desempenho dessa experiência – como verificar a rapidez com que uma página é carregada ou se ela trava ”, disse a porta-voz Maureen Shanahan em comunicado.
A empresa disse que o código JavaScript faz parte de um kit de desenvolvimento de software de terceiros, ou SDK, um conjunto de ferramentas usadas para criar ou manter aplicativos. O SDK inclui recursos que o aplicativo não usa, disse a empresa. O TikTok não respondeu a perguntas sobre o SDK ou o que é feito por terceiros.
Embora a pesquisa de Krause revele que as empresas de código, incluindo o TikTok e a Meta, mãe do Facebook, estão injetando em sites de seus navegadores no aplicativo, a pesquisa não mostra que essas empresas estão realmente usando esse código para coletar dados, enviá-los para seus servidores ou compartilhá-los com terceiros. A ferramenta também não revela se alguma atividade está vinculada à identidade ou perfil de um usuário. Embora Krause tenha conseguido identificar alguns exemplos específicos do que os aplicativos podem rastrear (como a capacidade do TikTok de monitorar as teclas digitadas), ele disse que sua lista não é exaustiva e que as empresas podem monitorar mais.
Leia mais: Além das dancinhas: os planos de negócios do TikTok no Brasil
A nova pesquisa segue um relatório da semana passada de Krause sobre navegadores no aplicativo, que se concentrava especificamente nos aplicativos de propriedade da Meta Facebook, Instagram e Facebook Messenger. O WhatsApp, que a empresa também possui, parece estar claro porque não usa um navegador no aplicativo.
Krause também lançou na quinta-feira uma ferramenta que permite que as pessoas verifiquem se o navegador que estão usando injeta algum novo código em sites e quais atividades a empresa pode estar monitorando. Para usar a ferramenta para verificar o navegador do Instagram, por exemplo, envie o link InAppBrowser.com para um amigo em uma mensagem direta (ou peça para um amigo enviar o link por DM). Se você clicar no link no DM, a ferramenta fornecerá um resumo do que o aplicativo está rastreando potencialmente – embora a ferramenta use vários termos de desenvolvedor e possa ser difícil de decifrar para não codificadores.
Para sua nova pesquisa, Krause testou sete aplicativos para iPhone que usam navegadores no aplicativo: TikTok, Facebook, Facebook Messenger, Instagram, Snapchat, Amazon e Robinhood. (Ele não testou as versões para Android, o sistema operacional móvel do Google.)
Dos sete aplicativos que Krause testou, o TikTok é o único que parece monitorar as teclas digitadas, disse ele, e parecia estar monitorando mais atividades do que o resto. Como o TikTok, o Instagram e o Facebook rastreiam cada toque em um site. Esses dois aplicativos também monitoram quando as pessoas destacam texto em sites.
“Esta é uma tarefa de engenharia não trivial. Isso não acontece por engano ou aleatoriamente.”, Felix Krause.
A Meta não respondeu a perguntas específicas relacionadas ao rastreamento, mas disse que os navegadores no aplicativo são “comuns em todo o setor”. A porta-voz Alisha Swinteck disse que os navegadores da empresa habilitam certos recursos, como permitir que o preenchimento automático seja preenchido corretamente e impedir que as pessoas sejam redirecionadas para sites maliciosos. (No entanto, navegadores como Safari e Chrome também possuem esses recursos.)
“Adicionar qualquer um desses tipos de recursos requer código adicional”, disse Swinteck em comunicado. “Nós projetamos cuidadosamente essas experiências para respeitar as escolhas de privacidade dos usuários, incluindo como os dados podem ser usados para anúncios”.
Meta também disse que os nomes dos scripts apresentados na ferramenta podem ser enganosos porque são termos técnicos de JavaScript que as pessoas podem entender mal. Por exemplo, “mensagem” neste contexto refere-se a componentes de código que se comunicam entre si, não mensagens de texto pessoais.