研究发现：TikTok内建浏览器 监控用户输入信用卡号

研究发现：TikTok内建浏览器 监控用户输入信用卡号 安全研究人员发现，短影音社群平台TikTok应用程式内建浏览器将程式语言JavaScript嵌入外部网站，以允许应用程式监控使用者输入的所有内容，包括密码和信用卡号码。 国外科技网站Appleinsider报导，早于2020年就有人发现TikTok会读取用户的剪贴簿内容，如今TikTok又被发现再次偷窥使用者资料。 自由时报报导: #抖音 #Tiktok #中国监控 #NeverTrustCCP #偷窥资料 #网络安全

TikTok 内置浏览器可监控用户输入密码与信用卡号

TikTok 内置浏览器可监控用户输入密码与信用卡号 安全研究人员发现，短视频平台TikTok 内置浏览器将程序语言JavaScript嵌入外部网站，以允许应用程序监控使用者输入的所有内容，包括密码和信用卡号码。 TikTok回应：监控功能确实存在，但没有使用

TikTok被曝App内浏览器代码可“监控输入和点击的任何内容”，公司发言人否认Javascript代码用于恶意行为

TikTok被曝App内浏览器代码可“监控输入和点击的任何内容”，公司发言人否认Javascript代码用于恶意行为 月日消息，据安全研究员 Felix Krause 称，TikTok 在iOS上的自定义App内浏览器将 JavaScript 代码注入外部网站，允许 TikTok 在所有用户与给定网站交互时监控“所有键盘输入和点击”。Krause 表示，当用户与外部网站交互时，TikTok App 内浏览器会“订阅”所有键盘输入，包括密码和信用卡信息等任何敏感细节，以及屏幕上的每次点击。Krause 在谈到 TikTok 注入的 JavaScript 代码时称，从技术角度来看，这相当于在第三方网站上安装键盘记录器。 TikTok承认以上JavaScript代码确实存在，但JavaScript 代码并不意味着我们的应用程序在做任何恶意行为。该公司表示，有关所谓的键盘记录器的消息具有误导性。这段有争议的代码是第三方 SDK 中未使用的部分。“与其他平台一样，我们也使用应用内浏览器来提供最佳用户体验。相关的 JavaScript 代码用于调试、故障排除和监控应用程序的性能，例如检查页面的加载速度以及是否页面崩溃。” 因此 TikTok 不会使用来自第三方 SDK 的代码的键盘记录部分。TikTok 强调称某些注册数据仅在设备本地处理，不会转发到服务器。

一项新的研究发现，TikTok内置浏览器可追踪用户的每一次键盘操作。

一项新的研究发现，TikTok内置浏览器可追踪用户的每一次键盘操作。 该功能被嵌入在软件内置浏览器中，可追踪到用户输入的每个字符。该公司称相关功能仅用于“调试、故障排除和性能监控”。隐私研究员对此表示担忧，这份报告也可能为TikTok在美国的运营带来问题。

ℹWebtoPDF 将网页转 PDF 档的免费工具，比浏览器内建列印还好用，提供多种设置调整#

ℹWebtoPDF 将网页转 PDF 档的免费工具，比浏览器内建列印还好用，提供多种设置调整# 虽然现在浏览器内建的列印功能就能将网页储存成 PDF 档，但有用过的人都知道，很多时候都没办法完整的存起来，特别是有图的情况，排版会变很乱...

浏览器的安全设计及网站漏洞，让浏览器扩展可存取用户密码等机密资料

浏览器的安全设计及网站漏洞，让浏览器扩展可存取用户密码等机密资料 来自美国威斯康辛大学麦迪逊分校（University of Wisconsin–Madison）的3名研究人员上周发表了一篇研究报告，指出坊间主要浏览器的粗粒度权限模型（Coarse-Grained Permission Model）违反两项安全设计准则，再加上网站上的输入栏位含有安全漏洞，将足以让骇客借由浏览器扩充程式取得使用者所输入的机密资料，包括密码与信用卡资讯。 研究人员所调查的浏览器涵盖Google Chrome、Mozilla Firefox与苹果Safari，并宣称它们在处理文字输入栏位的权限时，并未遵循最低权限及完全仲裁（Complete Mediation）原则，前者指的是系统应该仅具备最低限度的必要存取权限，后者则是每次的存取都应检查权限。 研究人员分析了Chrome Web Store中的17,300款扩充程式，发现当中有12.5%具备汲取所有网页上机密资讯的必要权限，包括拥有超过1,000万名使用者的AdBlockPlus及优惠券程式Honey。此外，还有190款扩充程式可以直接存取密码栏位。