„Po jednej stronie jest ich słowo, po drugiej – kod źródłowy ich aplikacji” – mówią eksperci z firmy Internet 2.0, którzy zrobili najdokładniejszy jak dotąd audyt aplikacji TikTok i ostrzegają, że zbiera ona znacznie więcej naszych danych osobowych, niż powinna.
Zajmująca się cyberbezpieczeństwem amerykańska firma Internet 2.0 przeprowadziła kompleksowy audyt aplikacji TikTok do dzielenia się krótkimi filmami wideo. Aplikacja, należąca do chińskiej firmy ByteDance, bije rekordy popularności na całym świeice, w USA budzi jednak spore kontrowersje.
Niedawno, o czym pisaliśmy w naszym serwisie m.in. tutaj , TikTok został ponownie uznany przez administrację Stanów Zjednoczonych za zagrożenie dla bezpieczeństwa narodowego tego kraju. Wszystko przez fakt, że do danych użytkowników platformy z USA mieli dostęp chińscy inżynierowie.
Zapytaliśmy o to przedstawicieli TikToka w Polsce i regionie Europy Środkowo-Wschodniej. O tym, co nam odpowiedzieli, również można przeczytać na naszych łamach .
Kolejny kraj ostrzega przed TikTokiem
W ostatnich dniach ostrzeżenie przed korzystaniem z chińskiej aplikacji dostali jej użytkownicy w Australii.
To właśnie tam – zaraz po Stanach Zjednoczonych – eksperci z branży cyberbezpieczeństwa wystosowali apel, aby być ostrożnym względem popularnej platformy. Ich zdaniem, TikTok może służyć władzom w Pekinie do pozyskiwania informacji i danych osobowych, które następnie mogą służyć celom wywiadowczym. Natomiast w lipcu, australijski oddział TikToka potwierdził również, że do danych użytkowników z tego kraju mieli dostęp pracownicy z Chin. Jakie to informacje i dane? M.in. te dotyczące szczegółowych koordynantów geolokalizacyjnych, a także treści przesyłanych wiadomości.
Z australijskimi specjalistami zgadzają się eksperci firmy Internet 2.0, która przygotowała wielostronicowy raport z audytu technicznego TikToka. W szczególności dużo miejsca poświęcono kwestii przetwarzania danych osobowych użytkowników i sposobom ich wykorzystania przez platformę.
Jakie dane o użytkownikach zbiera TikTok?
Według Internet 2.0, tikTok ma możliwości gromadzenia danych nie tylko o naszych aktywnościach w aplikacji, ale też pobierania ich z urządzeń, na których jest instalowany.
Czytaj też
Dane, do których aplikacja zyskuje dostęp, to m.in. listy kontaktów w telefonie użytkownika, a także kalendarze i ich treść. TikTok skanuje również pamięć telefonu w poszukiwaniu dołączonych do urządzenia zewnętrznych przestrzeni do przechowywania danych, może także geolokalizować urządzenia, na których się znajduje, z częstotliwością raz na godzinę.
Według jednego z szefów Internet 2.0 Roberta Pottera, TikTok, kiedy jest aktywny na telefonie użytkownika, zyskuje dużo więcej uprawnień dostępowych do danych, niż potrzebuje do swojego działania.
Domyślne zezwolenia
Co więcej, aplikacja zyskuje te uprawnienia w praktyce wymuszając je na użytkownikach. W przypadku tych, o które musi zapytać, robi to tak długo, aż użytkownik – zmęczony ciągle wyświetlającymi mu się komunikatami – zezwoli na coś, czego tak naprawdę nie chciał wcześniej dopuszczać, np. na współdzielenie z aplikacją określonego typu danych.
Według Internet 2.0, TikTok mógłby działać bez uzyskania żadnego z zezwoleń na dostęp do danych, których się domaga. Właśnie dlatego firma uważa, że aplikacja zbiera je po prostu po to, aby były zgromadzone i przetwarzane, co jest jedynym celem ich pozyskiwania dla TikToka.
„Jeśli powiesz Facebookowi, że nie chcesz czegoś udostępniać, więcej cię o to nie zapyta. TikTok jest o wiele bardziej agresywny" – mówi cytowany przez dziennik „Guardian" Potter.
Problematyczny Android
To na Androidzie TikTok gromadzi o wiele więcej danych, niż na iOS (Apple) – drugi z wymienionych systemów ma wbudowane ograniczenia, które uniemożliwiają aplikacjom tak rabunkowe pozyskiwanie danych na temat ich użytkowników . Android takich ograniczeń nie posiada.
Wśród informacji, które TikTok gromadzi o użytkownikach korzystających z niego za pomocą urządzeń z Androidem, znajduje się m.in. ta o wszystkich innych programach, zainstalowanych na danym smartfonie, jak i o tym, z jakich innych aplikacji ktoś korzysta w tym samym czasie, co z TikToka. „Teoretycznie funkcja ta pozwala na stworzenie realistycznego diagramu telefonu konkretnej osoby" – czytamy w raporcie.
TikTok na Androida pyta również telefon raz na godzinę o dokładną lokalizację GPS użytkownika, a także o kontakty. Jeśli użytkownik odmówi zezwolenia na dostęp do tej listy, program będzie nieustannie domagał się pozwolenia – po prostu tak został zaprojektowany. Według audytorów z Internet 2.0, taka konstrukcja funkcji zapytania o dostęp do kontaktów to forma nękania osób korzystających z TikToka. „To anormalne. To odzwierciedlenie kultury, w której nie jest priorytetem ani prywatność, ani nawet to, że użytkownik mógłby chcieć ją zachować" – napisali eksperci w swoim opracowaniu.
Aplikacja TikTok na Androidzie ma stały dostęp do odczytu danych z kalendarza na telefonie użytkownika, które może również modyfikować. Dlaczego? Uzasadnieniem dla wdrożenia takiej możliwości ma być korzystanie z funkcji nadawania transmisji wideo na żywo na TikToku, o której użytkownicy mogą chcieć ustawić przypomnienie w kalendarzu w telefonie. Zdaniem ekspertów, to jednak za słabe uzasadnienie dla gromadzenia tak szczegółowych informacji o osobach korzystających z TikToka.
Czytaj też
Jeśli chodzi o informacje na temat przestrzeni do przechowywania danych, TikTok w wersji na Androida chce dostępu do informacji o zewnętrznych nośnikach danych. Jak piszą w swoim raporcie badacze Internet 2.0, aplikacja nie tylko widzi każdy folder, który znajduje się w pamięci telefonu i pamięci zewnętrznej, ale także każdy plik, który się tam znajduje.
Czy TikTok łączy się z Chinami i przekazuje im nasze dane?
W raporcie Internet 2.0 czytamy, że TikTok deklaruje iż przechowuje dane użytkowników w Singapurze i Stanach Zjednoczonych. Eksperci znaleźli jednak dowody na to, że aplikacja ta w wersji na system iOS łączy się z wieloma lokalizacjami na świecie – to m.in. Australia, USA, Indonezja, Malezja, Francja, Singapur i... Chiny.
„Podczas naszej analizy nie udało nam się ściśle określić zastosowania połączenia z chińskimi serwerami i nie możemy określić też, gdzie przechowywane są dane użytkowników. Chińskie połączenie jest obsługiwane przez firmę Guizhou Baishan Cloud Technology z sektora chmurowego i cyberbezpieczeństwa" – napisali specjaliści.
TikTok gromadzi dane tylko po to, aby je posiadać
Raport sprowadza się do konkluzji, że TikTok nie potrzebuje wszystkich danych, jakie gromadzi o użytkownikach, do swojego prawidłowego działania.
„Aplikacja może działać i będzie działać bez zakłóceń nawet, jeśli nie będzie zbierać żadnych z tych danych" – ocenia Internet 2.0. „To prowadzi nas do wniosków, że jedynym powodem gromadzenia tych wszystkich informacji jest chęć ich pozyskania" – czytamy w raporcie firmy.
Czytaj też
Jak odnotowuje dziennik „Guardian", choć TikTok należy do firmy ByteDance z Chin, to spółka ta wielokrotnie już dementowała informacje o jej powiązaniach z rządem w Pekinie.
Z raportu Internet 2.0 wynika jednak, że chińskie władze mogą mieć dostęp do danych z telefonów, na których zainstalowany jest TikTok. Nie wiadomo, jakie informacje przesyłane są do Chin, ale połączenie TikToka z chińskimi serwerami jest faktem – podkreśla w rozmowie z dziennikiem Potter.
Czy korzystanie z TikToka jest ryzykowne?
Według Pottera, to zależy od tego, kim jest użytkownik. W naszym serwisie pisaliśmy już o tym, że z aplikacji nie powinni korzystać żołnierze – tu w grę może bowiem wchodzić przetwarzanie danych wrażliwych z punktu widzenia bezpieczeństwa państwa.
TikTok może nie wydawać się groźny dla indywidualnych użytkowników – mówi cytowany przez „Guardiana" Robert Potter z firmy Internet 2.0. „Jeśli jednak zajmujesz się czymś szczególnie wrażliwym bądź poruszasz tematy, które takie są – możesz bardzo szybko stać się ich (Chin – red.) celem zainteresowania" – ocenia.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].