Były inżynier platformy społecznościowej TikTok ujawnił użytkownikom ogromne problemy z prywatnością.

Odkrycia podkreślają niedociągnięcia istniejącego projektu aplikacji i potrzebę zdecentralizowanych rozwiązań do przechowywania danych, które pozwolą użytkownikom odzyskać kontrolę nad danymi.

Wykorzystanie danych użytkowników TikTok wykracza daleko poza to, co robią inne aplikacje społecznościowe, takie jak Facebook czy Twitter. Niektórzy spekulują nawet, że platforma jest w rzeczywistości oprogramowaniem szpiegowskim rządu chińskiego [Forbes].

Co jest nie tak z TikTokiem?

Dla nieświadomych TikTok to aplikacja do udostępniania wideo, której właścicielem jest ByteDance z siedzibą w Pekinie. Platforma zyskała na popularności od międzynarodowego debiutu w styczniu 2018 r.

Użytkownicy TikToka przesyłają krótkie filmy o sobie, wypełniając „wyzwania”, takie jak lip-syncing, komediowe treści lub piosenki. Zachętą jest to, że film może stać się “viralem”, a użytkownicy przez krótką chwilę zasmakują sławy w Internecie.

Jednak aplikacja znalazła się w centrum wielu kontrowersji, w szczególności związanych z prywatnością. Najnowsze zarzuty pochodzą od osoby, która twierdzi, że dokonała inżynierii odwrotnej (RE) aplikacji, odkrywając w tym procesie pewne mroczne tajemnice.

W długim poście na Reddicie z kwietnia użytkownik Bangorlol ujawnił podejrzane wewnętrzne działania TikToka. Bangorlol pisze:

„TikTok to usługa gromadzenia danych, która jest zaledwie zawoalowana jako sieć społecznościowa. Jeśli istnieje interfejs API do uzyskiwania informacji o tobie, twoich kontaktach lub urządzeniu, no cóż, oni go używają.”

W dalszej części wpisu wyszczególniono niektóre dane, które aplikacja gromadzi na temat użytkowników. Obejmuje to między innymi dane sprzętowe telefonu (numer, model telefonu, wymiary ekranu, zużycie pamięci).

Gromadzi również dane, na których zainstalowane są inne aplikacje, w tym wcześniej usunięte; szczegóły sieci (IP, lokalny adres IP, nazwy punktów dostępu, a także dane GPS). A jeśli to nie wystarczy, określa nawet, czy telefon jest zrootowany, lub bez zabezpieczenia producenta.

Koszmar bezpieczeństwa

Autor postu wyjaśnia, że ​​aplikacja bardzo utrudnia blokowanie wycieków danych. Najwyraźniej zmienia nawet zachowanie, gdy wydaje się, że użytkownik próbuje dokładnie ustalić, jak działa oprogramowanie.

Wszystkie żądania analityczne są szyfrowane, a firma podobno zmienia algorytm przy każdej aktualizacji. Aplikacja przestaje również działać, jeśli zablokujesz komunikację z hostem analitycznym na poziomie DNS.

Być może najbardziej niepokojące jest to, że podobno wersja TikTok na Androida zawiera kod, który może wymusić pobranie, rozpakowanie i uruchomienie zdalnego pliku zip. Redditor pisze:

„Nie ma żadnego powodu, dla którego aplikacja mobilna potrzebowałaby tej funkcjonalności zgodnie z prawem”.

Osoba stojąca za rzekomym inżynierią wsteczną przyznaje, że badanie zostało przeprowadzone kilka miesięcy temu, a niektóre szczegóły mogą być nieaktualne.

Bangorlol nie był również w stanie dostarczyć istotnych dowodów z powodu zgłoszonych problemów ze sprzętem komputerowym. Stwierdził jednak, że pracuje nad witryną/blogiem poświęconym ujawnianiu problemów prywatności TikToka.

Lista obaw o prywatność związanych z TikTok rośnie

Ostatnie wysiłki inżynierii odwrotnej są częścią rosnącej listy problemów związanych z prywatnością powstającej platformy mediów społecznościowych. BeInCrypto poinformował, że właściciel aplikacji dążył do technologii blockchain na początku 2020 roku. Ten ruch prawdopodobnie rozwiązałby niektóre problemy związane z bezpieczeństwem danych.

Jednak pomimo tej zmiany kontrowersje wciąż się nasilają. Naukowcy Talal Haj Bakry i Tommy Mysk zidentyfikowali kilka luk bezpieczeństwa na urządzeniach iOS w lutym, które TikTok mógł wykorzystywać [Forbes].

Luka umożliwia aplikacjom czytanie tekstu kopiowanego przez użytkownika na iPhonie, a także na komputerze Mac. Biorąc pod uwagę, że wielu użytkowników skopiuje potencjalnie wrażliwe informacje z komputera Mac, luka stanowi poważne zagrożenie bezpieczeństwa.

Apple początkowo zaprzeczyło, że jest to problem, ale od tego czasu pospiesznie poprawia wyskakujące okienko, aby powiadomić użytkownika, że ​​aplikacja ma dostęp do jego schowka. Ta funkcja jest dostępna tylko na iOS 14, która pojawi się jesienią 2020 roku.

Nikczemna inżynieria

Jednak programiści mają już dostęp do aktualizacji i zauważyli, że TikTok pobiera dane ze schowka użytkownika w alarmującym tempie.

W wideo demonstracyjnym opublikowanym na Twitterze 24 czerwca brytyjski przedsiębiorca Jeremy Burge pokazuje, że aplikacja faktycznie wykonuje zdjęcia schowka po wprowadzeniu przez użytkownika tylko jednego znaku na swoim urządzeniu:

Szokująco, zdarza się to nawet podczas pisania na aplikacjach innych niż TikTok. Do sagi dodaje się jeszcze więcej podejrzeń, ponieważ ByteDance początkowo zdradził Forbesowi, że problem ze schowkiem jest związany z nieaktualnym pakietem reklamowym Google. Firma twierdziła ponadto, że usterka ustanie po zakończeniu kwietnia.

Jednak to nadal wpływa na użytkowników Apple do dziś. TikTok nadal przesuwa datę naprawy. Firma twierdzi teraz, że problem jest częścią funkcji antyspamowej i że prześle zaktualizowaną wersję aplikacji bez tej „funkcji”.

Zak Doffman, reporter Forbes wyjaśnia:

„Innymi słowy: przyłapano nas na robieniu czegoś, czego nie powinniśmy, rozwlekamy problem”.

TikTok przyciąga uwagę

Jeszcze przed rewelacjami od Myska, Bakry i Bangorlola istniały poważne obawy dotyczące prywatności TikToka. Pod koniec ubiegłego i na początku tego roku szereg amerykańskich agencji rządowych zabroniło pracownikom posiadania oprogramowania na urządzeniach rządowych.

W październiku ubiegłego roku senator Marco Rubio poprosił administrację Trumpa o zbadanie wniosku o dowody chińskiej cenzury związane z poufnymi informacjami politycznymi. Podobnie, senatorzy Chuck Schumer i Tom Cotton poprosili o zbadanie aplikacji w interesie bezpieczeństwa narodowego.

Później, w listopadzie, amerykański senat zaprosił znane firmy technologiczne do dyskusji na temat bezpieczeństwa danych na rozprawie. TikTok odmówił wysłania przedstawiciela.

Od tego czasu wiele amerykańskich organizacji zakazało korzystania z TikToka lub odradzało to. Należą do nich marynarka wojenna, wojsko, siły powietrzne, straż przybrzeżna, korpus morski, Departament Bezpieczeństwa Wewnętrznego i Administracja Bezpieczeństwa Transportu [Business Insider].

Czy decentralizacja może zapewnić lepszą drogę?

TikTok nie jest bynajmniej jedyną aplikacją, która ma wątpliwe ‘osiągnięcia’ w zakresie ochrony danych użytkowników. Krytycy oskarżyli firmę o złośliwe zamiary, jednak TikTok nie jest oczywiście jedyną scentralizowaną firmą gromadzącą dane użytkowników.

Dzięki technologii blockchain i inteligentnym kontraktom wprowadzającym możliwość naprawdę zdecentralizowanych aplikacji, być może jest nadzieja. Przyszłe aplikacje mogą działać bez polegania na ogromnej pamięci podręcznej danych użytkownika, którą można wykorzystać [Enigma].

Platformy tożsamości cyfrowej, podobne do tych, nad którymi pracują Microsoft i inni, starają się przywrócić użytkownikom kontrolę nad ich danymi osobowymi.

Chodzi o to, aby osoby nie musiały już ufać scentralizowanemu nośnikowi danych, aby działać odpowiedzialnie. Sami użytkownicy wybiorą, co udostępnić. Będą także mieć możliwość natychmiastowego cofnięcia dostępu do informacji.

Systemy, takie jak ION Microsoftu, który opiera się na blockchainie Bitcoina, są nadal w fazie rozwoju. Jeśli jednak odniosą sukces i zostaną powszechnie przyjęte, dostawcy usług internetowych mogą radykalnie zmienić sposób prowadzenia działalności. Ten nowy model powinien lepiej chronić interesy użytkowników.