Noua vedetă a platformelor de socializare o reprezintă aplicația TikTok, dezvoltată de compania chinezească ByteDance, ce permite utilizatorilor să creeze sau să urmărească clipuri video cu o durată de până la 60 de secunde. Deși conceptul și ideea din spatele aplicației nu surprind cu nimic, aceasta reprezintă exact rețeta câștigătoare ce a ajuns să adune peste 800 de milioane de utilizatori la nivel mondial. Da, ai citit bine, 800 de milioane… Poate părea o cifră uriașă, dar ocupă abia locul 5 în topul rețelelor de socializare, realizat de cei de la Statista.
Sursa: statista.com
Reverse-engineering the app
Toate bune și frumoase, doar că aplicația a fost luată la bani mărunți în ultimul timp de mai mulți specialiști și au început să apară prin codul sursă elemente care nu au absolut nimic în comun cu securitatea datelor utilizatorilor. Pe reddit a fost creat un topic ce tratează tranșant problema asta, afirmând faptul că: “Dacă ar exista un API prin care pot fi obținute informații despre tine, contactele tale sau despre telefonul tău, TikTok oferă posibilitatea asta“.
Prin tehnici de reverse-engineering, utilizatorul bangorlol, a reușit să înțeleagă în detaliu modul în care opera aplicația până la ultimele update-uri, afirmând din capul locului că TikTok adună de la utilizatori, pe lângă datele personale și date despre:
- configurația hardware a telefonului (tipul procesorului, id-uri ale componentelor, dimensiunea ecranului, DPI-ul, utilizarea memoriei, spațiul de memorie disponibil etc.);
- aplicații instalate (inclusiv cele care au fost dezinstalate);
- conexiunea la internet (adresa IP, adresa MAC de la router, adresa MAC a telefonului, SSID-ul rețelei WiFi etc.);
- starea telefonului (root sau jailbreak)
- locație GPS.
Date transmise și în China
De asemenea, compania de securitate Penetrum a constat că 23 de adrese IP din cele 61 (cu care comunică aplicația) sunt localizate în China și administrate de compania Alibaba, iar datele colectate nici măcar nu sunt transmise prin HTTPS, conform analizelor efectuate. Interceptarea datelor din HTTP REST API, prin tehnica Man-in-the-middle, captează în clar adresele de email ale utilizatorului, numele, prenumele și chiar data nașterii. (Citește aici despre extensia HTTPS Everywhere).
Furtul datelor din clipboard
Colac peste pupăză, odată cu lansarea cu mare tam-tam a versiunii iOS 14, utilizatorii de iPhone au putut constata cu stupoare că, la fiecare apăsare de tastă în scrierea de comentarii, aplicația TikTok își copiază liniștit datele din clipboard-ul utilizatorului. Întrebarea este: pentru ce?
Această descoperire a iscat un scandal care s-a viralizat rapid pe mai toate platformele de socializare, iar băieții de la TikTok s-au simțit cu musca pe căciulă și au venit cu explicația că măsura de citire a datelor din clipboard reprezintă de fapt o măsură menită să stopeze activitatea de spam de pe platforma lor. Bine-intenționată sau nu, următorul update a înlăturat măsura de protecție.
Recomandarea noastră
Deși la prima vedere aplicația pare inofensivă, de fapt avem în față un adevărat “aspirator de date” care face curățenie fără să te rogi de el. Daca ții la datele tale personale, poți lua în calcul recomandarea de înlăturare a aplicației din telefonul mobil.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.