Время удаления: TikTok — огромный риск для конфиденциальности

7 августа, 2020 Дядя Влад

TikTok быстро становится одной из крупнейших социальных сетей. У него более 800 миллионов пользователей по всему миру, и примерно половине его пользователей от 16 до 24 лет.

В течение некоторого времени в TikTok возникали проблемы с конфиденциальностью. Недавняя информация показывает очень плохое представление о том, как TikTok работает, чтобы разрушить вашу конфиденциальность.

Сегодня мы подробно рассмотрим, как TikTok компрометирует ваши интеллектуальные устройства и что вы можете с этим поделать.

Snooping в буфер обмена

Итак, TikTok захватывает содержимое моих заметок каждые 1-3 бара. iOS 14 высмеивает нас с новой вставкой уведомлений pic.twitter.com/OSXP43t5SZ
— Джереми Бердж (@jeremyburge) 24 июня 2020 г.

Хотя это довольно известный факт, что большинство приложений собирают пользовательские данные по рекламным и телеметрическим причинам, TikTok, похоже, доводит их до крайности. Как показывает пользователь Twitter Джереми Бердж, содержимое буфера обмена копируется в TikTok каждые несколько секунд, даже если приложение не используется.

Копирование из буфера обмена пользователя не является чем-то уникальным в TikTok. Другие приложения делают это, чтобы предложить пользователю большую функциональность, а не использовать его в качестве метода сбора данных. Не существует способа узнать, какие приложения управляют буфером обмена как часть их функциональных возможностей, а какие просто извлекают ваши данные.

ухудшается

Копирование данных из буфера обмена так часто может показаться странным, но не опасным по своей природе. К сожалению, не все так просто, как объясняет писатель Forbes Зак Доффман:

«Наиболее острая проблема с этой уязвимостью — это универсальная функция буфера обмена Apple, которая означает, что все, что я копирую на мой Mac или iPad, может быть прочитано с моего iPhone и наоборот. Так что, если TikTok активен на телефоне во время работы, приложение может читать практически все, что вы копируете на другое устройство: пароли, рабочие документы, конфиденциальные электронные письма, финансовую информацию. Ничего ».

Такое поведение, как намеренно, так и из-за плохого кода, вызывает серьезное беспокойство. Справедливо сказать, что эксплуатация этой уязвимости, возможно, не была первоначальной целью команды разработчиков TikTok.

Однако позже в той же статье Forbes TikTok, похоже, не может сказать, является ли отслеживание буфера обмена «функцией антиспама» или ошибкой в комплекте разработчика программного обеспечения Google Ads (SDK).

TikTok: без упаковки

Одна из причин, по которой мы теперь знаем гораздо больше о том, как работает TikTok, зависит от работы пользователя Reddit по имени bangorlol. В комментарии к удаленному сообщению, в котором критикуется TikTok, они описывают, как они расшифровали приложение и что они нашли.

В этой ветке вместе с другими журналистами-расследователями города ТикТок показывается как морально коррумпированные или некомпетентные разработчики. И это не обещает ничего хорошего для вашей безопасности. U / bangorlol перечислил основные способы сбора и обработки ваших данных TikTok:

«Аппаратное обеспечение телефона (тип процессора, номер курса, идентификатор оборудования, размер экрана, dpi, использование памяти, дисковое пространство и т. Д.)
Другие приложения, которые вы установили (я даже видел, что некоторые из них, которые я удалил, отображаются в их полезной нагрузке анализа, возможно, используя в качестве кэшированного значения?)
Все о сети (ip, локальный ip, mac роутер, mac, имя точки
доступа wifi)
Независимо от того, являетесь ли вы рутом / побег из тюрьмы
В некоторых вариантах приложения в это время включался пинг GPS, примерно раз в 30 секунд — по умолчанию он включен, если вы когда-либо отмечали местоположение сообщения IIRC
Они настроили локальный прокси-сервер на вашем устройстве для «перекодирования мультимедиа», но этим можно очень легко злоупотребить, так как он не имеет аутентификации »

Добавьте к этому тот факт, что TikTok содержит код, который позволяет вам загрузить удаленный zip-файл, прежде чем извлекать и выполнять его содержимое, и все начинает выглядеть действительно страшно.

Не пора ли удалить TikTok?

Разве так много нарушений безопасности, нет ли, конечно, веской причины продолжать использовать TikTok? Некоторые разработчики не согласны. Хотя TikTok доводит это до крайности, почти все приложения, которые вы используете, будут собирать ваши данные.

Один аспект спора TikTok, кажется, был упущен. И у Google, и у Apple есть стандарты, которых должны придерживаться все компании, чтобы их приложения были перечислены в магазинах Play и App. Хотя это не в полной мере защищает вас, маловероятно, что одно приложение будет работать по-другому, чем другие. платформ.

Считаете ли вы это положительным моментом или дополнительным доказательством того, что безопасность смартфона находится в ужасном месте, решать только вам.

Это не просто TikTok

Недавний поток новостей, связанных с TikTok, позволяет легко забыть, что они далеко не единственная компания, которая подверглась критике за неаккуратное использование данных. Facebook неоднократно оказывался кошмаром приватности. Они регулярно отслеживают пользователей способами, которые выходят далеко за рамки утверждений TikTok. Очень немногие пользователи в конечном итоге покинули Facebook из-за этих обвинений, и TikTok мог быть таким же.

Другой популярный взгляд на спор TikTok заключается в том, что, хотя проблемы безопасности являются серьезными, они подвергаются более тщательному изучению из-за политической напряженности. Индия уже запретила многие китайские приложения, в том числе TikTok, а Соединенные Штаты рассматривают аналогичный запрет. Он говорит, что обе эти страны имеют тесные отношения с Китаем.

Каковы перспективы TikTok Security?

Оригинальное сообщение Bangorlol на Reddit, наряду с постами пользователей Twitter, вызвало настоящий переполох. Теперь существует реальный импульс вокруг проблемы конфиденциальности TikTok, и небольшое сообщество выросло, обнаруживая, что TikTok может сделать.

Центром для этой работы является обратный субредд TikTok, запущенный Bangorlol. Теперь в приложении более 1000 участников краудсорсинга.

Несколько групп безопасности опубликовали статьи о TikTok, включая Penetrum и Zimperium .

Социальные сети подрывают вашу безопасность

Проблемы безопасности TikTok не новы, и, хотя это волнует, есть способы сделать вашу учетную запись более безопасной .

Однако одно можно сказать наверняка: TikTok и большинство других приложений для социальных сетей продолжают подрывать вашу безопасность каждый день. Выход из TikTok может быть хорошим началом, но единственный способ убедиться в этом — полностью выйти из социальных сетей !

Читать статью полностью: Время удаления: TikTok — огромный риск для конфиденциальности