Сотни миллионов пользователей, топы App Store по всему миру и регулярные заголовки СМИ – TikTok всего за два года стал феноменом уровня , добившись схожей популярности за почти десятикратно меньшее время.
Но взрывная популярность китайской соцсети коротких видео будоражит не только детей, проводящих там целые дни.
Внимание к TikTok приковано и со стороны экспертов по безопасности. Речь не про государственных, ангажированных политикой США, Европы или любой другой страны. Просто людей, которые в курсе, что и как работает.
Эти эксперты и «любители» уже полгода бьют тревогу: – самая мутная соцсеть из популярных, которая построена вокруг сбора данных.
Так основательно ещё никто не контролировал каждого пользователя. TikTok собирает данные и отправляет их на китайские сервера, а алгоритмы и системы, задействованные в этом, активно скрывает.
Дыма без огня обычно не бывает. В отличие от голословных заявлений без доказательств – см. обвинения Telegram в слежке за россиянами – TikTok ловится за руку и почему-то спокойно уходит, отмахнувшись. Популярность и нежелание разбираться в теме, увы, решают.
Поэтому тем, кто считает, что это «нормально», и «сейчас все так делают», хочу приоткрыть глаза.
Что творит TikTok с вашими данными
Из всех популярных приложений в App Store, TikTok на сегодняшний день – абсолютный рекордсмен по количеству систем слежения и контроля за пользователями. Уровень проработки этих механизмов заоблачно высок и сравним с лучшими достижениями частных шпионских организаций международного или государственного уровня.
На фоне TikTok даже (Instagram, WhatsApp) и меркнут. Они как минимум действуют открыто, а где нет, там в итоге «палятся». TikTok тем временем не подчиняется никому, никаким законам и требованиям, кроме желаний китайских владельцев, компании Bytedance.
Целые сообщества любителей и экспертов (например, на Reddit) возникли вокруг попыток «вскрыть» TikTok и разобраться:
▹ и как он собирает о пользователях
▹ эти данные отправляются и как часто
▹ образом приложение защищается от желающих его взломать
Так что вот вам неполный список технологий логирования и слежения за пользователями, найденных в ТикТоке.
Часть из них вполне безобидны и не выходят за пределы, скажем, обычной аналитики на большинстве сайтов. Даже на некоторое из перечисленного ниже сохраняется благодаря системе . Но чем дальше будете листать этот список, тем глубже убедитесь: для социальной сети столько данных не нужно, а уж возможностей – и подавно.
▪ Конфигурация смартфона. В неё входит модель процессора, количество ядер, уникальные идентификаторы «железа», разрешение экрана и плотность пикселей-на-дюйм, объём занимаемой оперативной памяти, объём свободной памяти в накопителе и так далее.
▪ Список установленных приложений. Его собирают как напрямую на Android, так и используя специальные инструменты. Например, работающий в фоне TikTok перехватывает открытие ссылок в сторонних программах, используя доступ к буферу обмена. На этом его поймала iOS 14 неделю назад.
▪ Сетевые данные. Это IP-адрес, отдельно локальный IP, MAC-адрес роутера, ваш MAC-адрес, название точки доступа Wi-Fi.
▪ Наличие джейлбрейка или рута. TikTok никак не реагирует на то или другое, но знает, «взломан» ли ваш смартфон.
▪ Геолокация по GPS. Считывается примерно раз в 30 секунд. Слежение активируется единожды и остаётся активным до ручного отключения в системных настройках смартфона – с момента, как пользователь впервые указал геопозицию поста в TikTok.
▪ Личные данные. Логи SMS-сообщений, список контактов, история звонков. Микрофон смартфона включается даже тогда, когда пользователю это не требуется. В версии TikTok для Китая, , данные собираются агрессивнее, чаще и глубже.
До последнего пункта было более-менее нормально, для многих приложений App Store. Но это могут быть не все данные, которые собирает TikTok – лишь те, которые ранее идентифицировали исследователи.
Помимо них, у приложения есть очень много «особенностей». Ниже только те, что удалось раскопать в замаскированном коде и подтвердить:
▪ Запуск прокси-сервера на устройстве. Якобы задействован для транскодирования медиафайлов, но его реальное назначение неизвестно. У сервера нет защиты или аутентификации – это «дыра».
▪ Открытый протокол HTTP для передачи данных. Использовался до последнего времени. Из-за этого исследователи неоднократно показывали, как легко украсть или подменить данные пользователей TikTok при наличии доступа к одной сети с ними. Можно было даже подменять отображаемые ролики.
▪ Загрузка любого ZIP-архива с сервера и запуск исполняемых файлов в нём. Естественно, поддерживается и распаковка ZIP-архива. Следы кода найдены в Android-версиях TikTok. Цель неизвестна. Этот код также был в «прошлом» поколении сервиса, , и его хорошо прятали.
▪ Отключение приложения при запрете передачи личных данных. Если приложение замечает, что пользователь каким-то образом заблокировал соединение TikTok с серверами, принимающими личные данные (например, благодаря DNS-фильтру), то оно отказывается работать. Объективных причин в таком отказе нет.
▪ Отправка данных на 70+ разных серверов, >30% – китайские. Собираемая информация о действиях пользователя постоянно уходит на различные IP-адреса, среди которых больше 30% являются китайскими. Основная их часть принадлежит , гигантской китайской корпорации-владельца , , , крупнейшей в мире платёжной системы и многих других сервисов. В потоке есть банальная рекламная аналитика, но содержимое части пакетов жёстко зашифровано.
TikTok не только следит, но и защищается от любопытных
Попытки «вскрыть» TikTok сопряжены с постоянными проблемами и сложностями. Это не Telegram с его открытым кодом, регулярно публикующемся в интернете.
Эксперты жалуются, что приложение на лету меняет алгоритмы работы, если замечает «подозрительную» активность в сети пользователя (например, спуфер) или сторонний код, взаимодействующий с TikTok и передаваемыми/принимаемыми им данными.
Многое в TikTok настраивается не в самом приложении, а на серверах его разработчика. У Bytedance есть возможность менять существенную часть функциональности клиента соцсети . В том числе алгоритмы трекинга пользователя.
Большая часть кода приложения остаётся замаскированной по сей день, потому что его создатели постоянно модифицируют защиту и оперативно реагируют на попытки разобраться в алгоритмах работы сервиса.
Несколько компаний, занимающихся «пентестингом» (проверкой безопасности систем через взлом), уже поднимали вопрос про TikTok и приходили к аналогичному мнению: приложение необычно сильно завязано на сборе данных – больше, чем любая другая популярная социальная сеть.
И что теперь?
Общая проблема глобальных сервисов азиатского и китайского происхождения заключается в том, что они могут беспрепятственно игнорировать правила защиты персональных данных в любой стране и продолжать там работать.
Facebook распинают за их рекламные политики уже пять лет подряд. Google достаётся постоянно, даже Apple задевает. А TikTok только недавно начали упоминать в подобном контексте. Да и то без сильного интереса.
Китайская компания может плюнуть на GDPR, базовые принципы защиты данных и вытащить сервис на мировой уровень хайпом и деньгами. Наказывать её некому, кроме самих китайцев. Единственный способ влияния, который может сработать – : тотальный запрет на территории страны.
На прошлой неделе именно так поступила Индия, заодно «забанив» несколько десятков сервисов других крупных техногигантов КНР. Армия США тоже запретила TikTok.
Нельзя забывать и то, что внутри Китая который год подряд растёт давление на крупные технологические компании. Коммунистическая партия Китая, помимо уже легендарной мега-цензуры, всё сильнее присматривает за «правильностью» контента и его соответствию «ценностям социализма». В таком климате заставить Bytedance встроить что угодно в свои продукты – дело одного звонка.
В целом картина складывается так. Западные страны боятся государственного и частного шпионажа Китая – вспоминаем Huawei и ZTE. А TikTok, принадлежащий китайской компании, следит за пользователями активнее других социальных сетей. И на деле не пытается это объяснять или оправдывать, за исключением общих фраз.
Америка напрягается, Европа прислушивается, Индия вообще банит. Посмотрев на работу приложения, начинаешь их понимать.
Единственно правильным решением здесь, ИМХО, может быть только такое: удалить TikTok со своего смартфона.
А если не удалите, то теперь хотя бы примерно будете знать, отправляете в Китай – непонятно кому и зачем.
Источник:
