Czy TikTok jest niebezpieczny i szpieguje użytkowników? Aplikacja ma (nie)ograniczone uprawnienia
Fenomen TikToka niesie za sobą pytania o zabezpieczenia i prywatność. Czy najpopularniejsza aplikacja świata - TikTok, jest bezpieczna? Czy TikTok szpieguje? I dlaczego wyświetlane reklamy tak trafnie odzwierciedlają twoje gusta?
Zadając sobie pytanie, czy TikTok jest bezpieczny, musimy najpierw ustalić, w jakim wymiarze rozpatrujemy przymiotnik "bezpieczny". Bezpieczeństwo w internecie można bowiem rozpatrywać w dwóch wymiarach, z których każdy ma nieco odmienne pole zainteresowań:
- bezpieczeństwo w wymiarze psychospołecznym - wpływ publikowanych treści na odbiorców, fake news, obecność treści powszechnie uważanych za niepokojące i/lub niestosowne, uzależnienia czy prywatność profili - widoczność treści dla innych użytkowników serwisu;
- bezpieczeństwo w wymiarze informatycznym - potencjalne złośliwe oprogramowanie, luki w zabezpieczeniach, podatność oprogramowania na ataki i wykradanie danych, prywatność użytkownika i przetwarzanie jego danych, uprawnienia aplikacji.
O ile bezpieczeństwo w wymiarze psychospołecznym zależy od użytkownika końcowego i grupowej odpowiedzialności społeczności za publikowane treści, o tyle bezpieczeństwo w wymiarze informatycznym to aspekt, na który wpływ mają jedynie deweloperzy i najwyższe instancje prawa.
Na łamach Spider's Web opisaliśmy bezpieczeństwo na TikToku z perspektywy publikowanych na nim treści i potencjalnie płynących z tego zagrożeń. W tym artykule pochylimy się nad technicznymi aspektami bezpieczeństwa TikToka
Polityka prywatności - jakie informacje zbiera TikTok?
Aby znaleźć podstawowe informacje o tym, ile wie o tobie TikTok, nie trzeba ani znajomości programowania, ani nawet języka angielskiego. W myśl obecnych regulacji prawnych TikTok zobligowany jest do publikacji polityki prywatności - informacji o tym, jakie dane zbiera i w jaki sposób je przetwarza.
Polityka prywatności TikToka w pełnej formie jest dostępna na tej stronie. Pomimo dość uproszczonych sformułowań, informacje, które zbiera o nas TikTok, mogą wprawiać w konsternację. "Informacje zawarte w profilu" są dość oczywiste, "Wiadomości bezpośrednie" - pomimo logicznej argumentacji "w celu blokowania spamu, wykrywania przestępstw oraz ochrony naszych użytkowników" - niepokoją. Wymienione w piątym akapicie "Informacje o zakupach" także.
Reverse engineering, czyli odkrywanie tego, co ukryte
W poszukiwaniu odpowiedzi na pytanie, jak bezpieczną aplikacją jest TikTok, użytkownik serwisu Reddit ukrywający się za nazwą bangorlol dokonał badania kodu aplikacji za pomocą inżynierii wstecznej (ang. reverse engineering). Swoje wnioski opublikował w komentarzu pod usuniętym już filmikiem nawołującym do bojkotu TikToka.
Część z ustaleń bangorlola nie była zaskoczeniem dla opinii publicznej, ale dwa fragmenty wypowiedzi użytkownika Reddita budzą niepokój.
W wersji na Androida znajduje się również kilka fragmentów kodu, które umożliwiają [aplikacji TikTok] pobranie pliku zip z sieci, rozpakowanie go i uruchomienie.
Tego typu zachowanie jest charakterystyczne dla koni trojańskich
Co więcej, przez długi czas nie używali HTTPS. Doprowadzili do wycieku adresów email w ich HTTP REST API, a także do wycieków pomocniczych adresów email używanych do odzyskiwania haseł. Nie zapominajcie o prawdziwych imionach i datach urodzeniach użytkowników. To wszystko byłoby publicznie dostępne, jeżeli przeprowadziłbyś atak typu man-in-the-middle.
Innymi słowy, TikTok nie stosował szyfrowania HTTPS, przez co zanim informacje wprowadzone na twoim urządzeniu trafiły na serwery TikToka, dla wprawnego programisty czy dostawcy internetu możliwym było przechwycenie ich w trakcie przesyłu. Poprzez informacje rozumiemy tu nie tylko powszechnie dostępne filmiki czy dane niewidoczne w profilu, ale także np. wiadomości prywatne.
Jednocześnie należy pamiętać, że treści publikowane w serwisie Reddit należy traktować z pewną dozą sceptycyzmu. Zwłaszcza że bangorlol w jednej z wypowiedzi wspomniał o całkowitej utracie danych ze względu na problemy techniczne z komputerem. Ponadto jego konto jest nieaktywne od prawie 2 lat, a ostatnią aktywnością był jedynie udział w dyskusji o inżynierii wstecznej TikToka.
Do akcji wkraczają niezależne firmy
Nie można odmówić bangorlolowi wzbudzenia dyskusji na temat bezpieczeństwa na TikToku. Na fali dyskursu publicznego prowadzonego w lipcu 2020 roku opublikowano również dwie analizy pochodzące od dwóch niezależnych firm - Penetrum i Zimperium.
Penetrum przeanalizowało wersję 15.2.3 TikToka na Androida i nazwało ją "zagrożeniem dla bezpieczeństwa". Działania ByteDance (właściciel aplikacji) wykonywane poprzez aplikację określono mianem "ogromnych żniw danych".
Opinia wydana przez Penetrum motywowana jest wykryciem w kodzie aplikacji funkcji, które wykraczają daleko poza to, czego TikTok rzeczywiście potrzebuje. Aplikacja zbiera m.in. dane o wysłanych SMS-ach, geolokalizacji, poprzednio zainstalowanych aplikacjach czy numerach IMEI i IMSI. Dane te są szczególnie wrażliwe, jednocześnie będąc szczególnie wartościowymi z perspektywy marketingowej, gdyż dają ich posiadaczowi możliwość - do pewnego stopnia - przewidzenia zachowania użytkownika telefonu.
Zimperium natomiast wzięło na warsztat wersję 16.6.4, oceniając zarówno wersję na Androida, jak i iOS-a pod względem prywatności i bezpieczeństwa. Analiza bezpieczeństwa koncentruje się na zagrożeniach zawartych w aplikacji. Obejmują one (ale nie ograniczają się do): działania niepokojących funkcji i podejrzanych fragmentów kodu aplikacji, uprawnienia aplikacji, krytyczne luki i zagrożenia. Pod względem prywatności oceniano dostęp TikToka do prywatnych danych takich jak dane użytkownika, kontakty, unikalne identyfikatory urządzenia czy SMS-y. Zimperium posługuje się trzy stopniową skalą, w której wyniki interpretowane są w następujący sposób:
- 0 – 33 niskie zagrożenie
- 34 – 65 umiarkowane zagrożenie
- 66 -100 wysokie zagrożenie
W poście na blogu Zimperium podaje wyniki analizy, w których iOS dostał notę 98/100 za prywatność i 91/100 za bezpieczeństwo. Android natomiast otrzymał notę 75/100 za prywatność i 63/100 za bezpieczeństwo.
- Zobacz też: TikTok: Nowa, niebezpieczna moda. Szczekają na swoje psy. Przez głupi trend cierpią zwierzęta
Citizen Lab też zbadał bezpieczeństwo TikToka
Bezpieczeństwo na TikToku zainteresowało również uczonych z Citizen Lab przy Uniwersytecie w Toronto. Opisali swoje przemyślenia w artykule porównującym TikTok (wersja 14.7.5) do swojego chińskiego odpowiednika Douyina (również w posiadaniu ByteDance). Kod źródłowy obu aplikacji przeanalizowano pod względem prywatności i bezpieczeństwa, a następnie porównano obie aplikacje.
[...] W przypadku TikToka wydaje się, że dostosowywanie wspólnego kodu źródłowego doprowadziło do stworzenia końcowego produktu, który w dużej mierze spełnia normy branżowe. Na znaleźliśmy żadnych niepożądanych funkcji takich obecnych w Douyin. W porównaniu do konkurentów TikToka takich jak Facebook również nie znaleźliśmy znaczących odchyleń pod względem prywatności, bezpieczeństwa czy cenzury.
Jednakże TikTok nie jest całkowicie wolny od obaw o prywatność, bezpieczeństwo czy cenzurę. Jak udowodniliśmy, ByteDance opiera się na dostosowywaniu w różnym stopniu wspólnego kodu źródłowego, aby dostosować się do potrzeb różnych rynków. Te modyfikacje mogą zostać cofnięte (z różnym stopniem trudności), zarówno umyślnie, jak i nieumyślnie. Na przykład stosunkowo trudno byłoby włączyć dynamiczne ładowanie kodu w TikTok, ponieważ nie zawiera on kodu niezbędnego do wspomagania procesu. Z drugiej strony wykazaliśmy, że TikTok zawiera pewien uśpiony kod pierwotnie napisany dla Douyin, a wartości konfiguracyjne zwracane przez serwer TikTok dyktują niektóre z jego zachowań. Niepokoi nas możliwość, w której wartości konfiguracyjne zwracane przez serwer TikTok mogą włączyć ten uśpiony kod napisany dla Douyin, co może prowadzić do włączenia funkcji specyficznych dla Chin.
TikTok vs Douyin
A Security and Privacy Analysis
To ostatnie badania dotyczące bezpieczeństwa i prywatności. Decydując się na konto w TikToku, warto pamiętać o bogatej historii naruszeń bezpieczeństwa i prywatności ze strony aplikacji. Jedyną gwarancją bezpieczeństwa na TikToku w wymiarze cyfrowym jest jego odinstalowanie. Marzeniem ściętej głowy jest, by ByteDance zrezygnowało z dwumiliardowej farmy danych.
