- Getty Images
VIVA Tekno – Peneliti keamanan bernama Felix Krause baru-baru ini menemukan bahwa in-app browser pada aplikasi iOS TikTok menyuntikkan kode JavaScript ke setiap situs web yang dikunjungi oleh setiap penggunanya yang artinya, aplikasi tersebut dapat memantau setiap entri keyboard dan setiap ketukan di layar para penggunanya.
"Saat Anda membuka tautan apa pun di aplikasi TikTok iOS, tautan itu dibuka di dalam browser dalam aplikasi mereka. Saat Anda berinteraksi dengan situs web, TikTok berlangganan semua input keyboard (termasuk kata sandi, informasi kartu kredit, dll.) dan setiap ketukan di layar, seperti tombol dan tautan mana yang Anda klik,” ujar Krause.
Misalnya, dalam kasus browser dalam aplikasi TikTok, Krause mengatakan kode tersebut “berperilaku seperti keylogger.”. Lantaran demikian, perusahaan tersebut mengklaim bahwa mereka tidak menggunakan kode yang dimaksud untuk melacak semua yang diketik atau ketuk oleh pengguna.
Juru bicara TikTok Maureen Shanahan melalui pernyataan dengan Forbes sebagaimana dikutip dari situs Theverge, Minggu, 21 Agustus 2022, menampik kabar tersebut dan menekankan, penggunaan kode Javascript disini untuk memberikan pengalaman pengguna yang lebih optimal.
“Seperti platform lain, kami menggunakan browser dalam aplikasi untuk memberikan pengalaman pengguna yang optimal, tetapi kode Javascript yang dimaksud hanya digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja dari pengalaman itu — seperti memeriksa seberapa cepat halaman dimuat atau apakah itu mogok,” jelasnya.
Sehingga, tidak ada salahnya jika bersikap lebih waspada sebelum mengetikkan kata sandi atau nomor kartu kredit ke situs web pihak ketiga di browser dalam aplikasi TikTok.
Adapun, untuk menghindari potensi jebakan keamanan, Krause menyarankan untuk beralih ke browser default perangkat bila memungkinkan. Biasanya, browser dalam aplikasi memang memberikan pengguna opsi untuk beralih ke Safari atau Chrome.
Sayangnya, TikTok adalah salah satu aplikasi yang tidak memiliki tombol untuk membuka tautan di browser bawaan perangkat. Oleh karenanya, pengguna harus repot-repot menyalin dan menempelkan URL dari browser dalam aplikasi dan memindahkannya ke browser default.
Kendati demikian, Krause menekankan sebetulnya aplikasi yang menginjeksi JavaScript tidaklah berarti aplikasi tersebut melakukan suatu hal yang berbahaya.
"Hanya karena aplikasi menyuntikkan JavaScript ke situs web eksternal, tidak berarti aplikasi tersebut melakukan sesuatu yang berbahaya. Tidak ada cara bagi kami untuk mengetahui detail lengkap tentang jenis data yang dikumpulkan oleh setiap browser dalam aplikasi, atau bagaimana data tersebut ditransfer atau digunakan,” papar Krause.
