ИБ-эксперты обнаружили в приложении TikTok для iOS и Android скрытые инструменты слежки за пользователями. Оно получает прямой доступ к их персональным данным, скрывает исходный код от аудита Google и Apple и передает своим рекламным партнерам уникальные идентификаторы устройств пользователей. Приложение, тем временем скачали миллиарды людей со всего света, сообщает CNews.
Приложение TikTok может оказаться очень опасным для всех, кто его установил, пишет портал TheWrap. Согласно исследованиям, проведенным неназванными «белыми хакерами», мобильная утилита соцсети может обходить защитные механизмы в магазинах Google Play и Apple App Store.
Другими словами, китайская компания ByteDance, разработчик TikTok, встроила в приложение алгоритм обхода аудита кода в магазинах Apple и Google. Пока нет точных данных, для чего ей это потребовалось, но на этом недокументированные функции программы не заканчиваются.
По данным TheWrap, приложение TikTok может мимикрировать под браузер, что лишь усложняет процесс проверки его кода. Кроме того, скрытые алгоритмы открывают ByteDance полный доступ ко всем данным пользователя в памяти устройства.
Исследования столь необычных возможностей приложения TikTok, о которых пользователям, по мнению разработчиков, знать совершенно необязательно, проводились в ноябре 2020 г. и январе 2021 г. Представители ByteDance никак не отреагировали на публикацию их результатов, то есть они не стали ни опровергать, ни подтверждать заключения экспертов.
В теории, ByteDance может иметь доступ к данным миллиардов людей по всему земному шару. В одном только Google Play приложение TikTok было скачано свыше 1 млрд раз за шесть с половиной лет (с сентября 2015 г).
Apple такую статистику не предоставляет. Однако в российском сегменте App Store TikTok находится на первом месте в категории «Развлечения», а в американском – на третьем.
Не исключено что за месяцы, прошедшие с момента проведения исследования, разработчики TikTok внесли некоторые изменения в код приложения. Тем не менее, сам факт наличия столь агрессивных методов слежки в популярной программе должен как минимум насторожить пользователей.
Опрошенные TheWrap эксперты в сфере информационной безопасности утверждают, что приложение TikTok, да и вся соцсеть в целом, использует намного более широкий набор средств отслеживания пользовательских устройств и их активности. Они сравнили китайский проект с американскими Facebook и Twitter и заявили, что последние намного менее активно следят за пользователями.
То, как TikTok распоряжается пользовательской информацией, тоже вводит ИБ-экспертов в ступор. Так, соцсеть охотно предоставляет своим партнерам, покупающим у нее рекламу, доступ к уникальным идентификаторам устройств. А это значит, что следить за пользователями может не только TikTok, но и тысячи рекламодателей.
Также приложение TikTok завязано на массу библиотек, разработанных самой ByteDance, доступа к которым у сторонних программистов нет. Это тоже усложняет аудит безопасности ПО и позволяет авторам нашпиговывать его все новыми системами слежки.
В сознании миллиардов людей давно укрепилось мнение, что платформа iOS более безопасна в сравнении с Android, во многом благодаря своей закрытости. Однако в случае с TikTok это может оказаться не совсем так.
Согласно исследованию, в iOS-версии TikTok используется кастомная версия проигрывателя роликов, отличающаяся от той, что применяется в Android-приложении. Авторы исследования констатируют, что это положительно сказывается на общей стабильности приложения, но подчеркивают, что это также может нести в себе риски безопасности. Так, собственный плеер тоже может содержать различные средства слежки за пользователями.
Эксперты не исключают, что в таком плеере могут таиться алгоритмы, изучающие, что именно смотрит пользователь, каким темами он интересуется. Затем эти данные могут использоваться в таргетинге рекламы.
Популярность TikTok не могла не повлиять на появление множества конкурирующих сервисов, в том числе и на базе существующих платформ. Так, например, компания Meta, ранее известная как Facebook, интегрировала в соцсеть Instagram сервис коротких видео Reels. Google проделал то же самое с YouTube, в котором теперь есть функция заливки коротких 15-секундных роликов Shorts.
В погоне за популярным трендом (короткие и далеко не всегда полезные видеоролики) свой аналог TikTok запустила соцсеть «Вконтакте», принадлежащая холдингу VK (ранее Mail.ru Group). В конце сентября 2021 г., как сообщал CNews, функция записи коротких роликов появилась и в приложении «Яндекса».
Холдинг «Газпром-медиа», возглавляемый экс-руководителем Роскомнадзора Александром Жаровым, пошел еще дальше. В конце 2020 г. он купил у компании ООО «Ямолодец» никому неизвестное российское приложение «Я молодец» для загрузки вертикальных видео, нацеленное на молодую аудиторию. В конце сентября 2021 г. на его основе был запущен «суверенный TikTok» – видеоплатформа Yappy.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.