Во время пандемии эта китайская платформа стала самой популярной социальной сетью. В то же время правительство США рассматривает возможность его запрета, а некоторые конспирологи предполагают, что данное приложение может быть использовано для доступа к информации миллионов людей. Метро изучает, так ли небезопасно пользоваться этой соцсетью.


Принадлежащая компании ByteDance платформа доступна более чем в 150 странах и насчитывает более 1 миллиарда пользователей по всему миру.


В первом квартале 2020 года TikTok вырвался в лидеры среди всех приложений с наибольшим количество загрузок. За это время его установили 315 млн раз – как через App Store, так и Google Play.

Популярность китайских СМИ побудила к исследованиям в области информационной безопасности и защиты данных. Эксперты предупредили, что TikTok собирает информацию от тех, кто скачивает приложение, а также имеет доступ к таким важным частям телефона, как камера и микрофон.

TikTok запрашивает ряд разрешений на вашем устройстве, и с полученным разрешением он имеет полный доступ к камере, микрофону, Wi-Fi-соединению устройства и телефонным контактам. Это позволяет приложению делать фотографии и видео, а также записывать аудио и звук. Он может держать устройство включенным и автоматически запускать приложение при перезагрузке телефона, как функция запуска компьютера при его включении, – объяснил Metro Джеймс Джин Кан, преподаватель вычислительной техники и безопасности в австралийском Университете Эдит Коуэн.

Однако платформу обвиняют не только в сборе и хранении информации своих пользователей, но и в предоставлении этой информации китайскому правительству. Госсекретарь США Майк Помпео недавно предупредил, что пользователи, скачавшие приложение, передают "частную информацию в руки китайской Коммунистической партии", и не исключил, что это приложение может быть запрещено администрацией Трампа.

Международная хакерская сеть Anonymous также предупредила пользователей, что популярная платформа является частью масштабной шпионской кампании, и даже попросило людей удалить приложение.

 

"Удалите TikTok сейчас, если вы знаете кого-то, кто его использует, объясните им, что это, по сути, вредоносная программа, управляемая китайским правительством, проводящим массовую шпионскую операцию", - написала группа в Twitter.

Эксперты сходятся во мнении, что за предполагаемым шпионажем, осуществляемым приложением, могли стоять китайские власти:

– Поскольку ByteDance – технологическая компания, работающая в Китае, то у неё может быть запрошен доступ к данным. В конце концов, компания может быть поставлена в положение, когда у неё просто не будет иного выбора, кроме как передать их, – объясняет Пол Хаскелл-Доуленд, аспирант и заместитель декана по вычислительной технике и безопасности в школе науки Университета Эдит Коуэн.

Впрочем, сама платформа назвала эти претензии необоснованными и заявила, что никогда не предоставляла данные пользователей китайскому правительству. Представители также подчеркнули, что все пользовательские данные из Соединённых Штатов хранятся в этой стране с единственной резервной копией в Сингапуре.

И всё же, несмотря на это, недоверие всё ещё присутствует. Так как всё-таки можно избежать слежки за пользователями и сбора информации? По мнению специалистов, единственный способ добиться этого – удалить приложение.

– Не думаю, что есть способ использовать сервис без сбора и использования информации пользователей. Неудивительно, но это также относится и к другим платформам социальных сетей, – заключил Томми Миск, исследователь бербезопасности, недавно изучивший нарушения безопасности со стороны TikTok.


Недостатки безопасности TikTok

Джеймс Джин Кан, преподаватель по вычислительной технике и безопасности в австралийском Университете Эдит Коуэн, объяснил Metro проблемы, связанные с приложением:

Сбор и хранение персональных данных

Когда правила и условия приложения приняты, платформа может собирать большую часть информации от пользователей и их устройств, поскольку пользователи предоставляют разрешения, запрошенные для использования приложения.

Видео и аудиозапись

Tiktok имеет полный доступ к камере и микрофону. Это позволяет приложению снимать фотографии и видео, а также записывать аудио без уведомления пользователя.

Доступ к другим приложениям

Одна из самых важных особенностей заключается в том, что TikTok может получить доступ к другим приложениям, запущенным одновременно с ним. Например, может получить разрешение на доступ к данным из банковского приложения.

Местоположение

TikTok имеет полный доступ к местоположению GPS и информации об устройстве, которые могут быть злонамеренно и успешно использованы.


Томми Миск,
исследователь в области кибербезопасности, который недавно изучал нарушения безопасности TikTok.
Расскажите о недостатках в шифровании TikTok,которые вы обнаружили недавно.
– Проблема, которую мы обнаружили, заключалась в отсутствии шифрования для передачи видео и фотографий профиля. Это говорит о том, что вся система безопасности платформы несовершенна. Проще говоря, TikTok использует протокол HTTP для передачи и загрузки медиа-данных. И хотя HTTP обеспечивает лучшую производительность, особенно на старых мобильных телефонах, он является незашифрованным каналом и уязвим для спуфинга [когда одна программа маскируется под другую – Прим. Ред.]. Это позволяет недобросовестным людям, которые могут перехватывать сетевой трафик, отслеживать историю просмотров пользователей, подвергать цензуре определенные видео или заменять их другими поддельными видео. Большинство социальных сетей сейчас используют современный протокол HTTPS. Он зашифрован и сохраняет целостность передаваемых данных.
Это значит, что хакер может заменить видео, размещённые на TikTok?
– Как вы знаете, когда мобильное приложение взаимодействует с сервером в Сети, сетевой трафик прыгает между несколькими маршрутизаторами, прежде чем данные достигают пункта назначения. Злоумышленник, имеющий доступ к любому из этих промежуточных маршрутизаторов, может манипулировать трафиком. Например, такая атака может выполнена при подключении через Wi-Fi или интернет-провайдер (ISP). В более широких масштабах это может быть использовано правительствами. Если видео, размещённое в TikTok, является нежелательным в определённой стране, то его могут подвергнуть цензуре или даже заменить чем-то другим. Правительства могут просить интернет-провайдеров сделать это.
Как только злоумышленник обнаруживает запрос TikTok на загрузку видео, он не пересылает этот запрос на серверы TikTok. Вместо этого он сам отвечает на запрос. Поскольку трафик передается по протоколу HTTP, приложение не может определить, пришёл ли ответ от сервера TikTok или от злоумышленника, поэтому приложение просто слепо принимает его.
Расскажите подробнее о том, какие опасности это влечёт.
– TikTok стал одной из ведущих платформ социальных сетей. Безусловно, распространение вводящей в заблуждение информации на платформе с 800 млн активных пользователей в месяц будет иметь серьезные последствия. Недостаток, который мы обнаружили, позволяет поддельные видео появляться на проверённых аккаунтах TikTok. Хотя воздействие носит региональный характер, оно может распространить дезинформацию в конкретных регионах. Фальшивка может заменить оригинальное видео с целью исказить отзыв или высказывание по щекотливой теме. Это нанесёт огромный ущерб, даже после того, как видео будет помечено как поддельное.
В 2016 году недостаток в дизайне безопасности Facebook позволил злоумышленникам влиять на выборы в США. Последствия наличия популярной платформы социальных сетей с недостатками безопасности имеют такие же масштабы.
В последнее время TikTok обвиняют в шпионаже за своими пользователями. Может ли это быть правдой?
– Это приложение, как и другие социальные платформы, собирает много данных о своих пользователях. Все эти данные перечислены в их политике конфиденциальности. И хотя количество собираемой информации пугающе велико, оно аналогично тому, что собирают другие сервисы. Согласно Политике конфиденциальности, причиной такого массового сбора данных является улучшение сервиса и предоставление персонализированной рекламы. Такая формулировка оставляет путь для интерпретации, но нет никаких доказательств того, что собранные данные используются для шпионажа за пользователями. С другой стороны, недостатки в системе безопасности могут позволить злоумышленникам получить конфиденциальную информацию пользователей и привести к серьёзным последствиям в случае утечки.

Не всё так плохо

Впрочем, существует и другой вариант: пугающие новости о массовом сборе конфиденциальных данных могут быть ни чем иным, как очередной теорией заговора или чёрным пиаром.

Сергей Вакулин
специалист по информационной и компьютерной безопасности

– TikTok информацию определённую собирает, конечно. Например, о железе телефона (возможно, это собирается для улучшения и мониторинга приложения, чтобы избежать технических ошибок). Также информацию о ранее установленных приложениях – не секрет, что такую информацию собирают и другие приложения. Это делается для маркетинга, чтобы знать, что нравится пользователю и в дальнейшем показывать ему соответствующую рекламу. Если мы предоставляем приложению доступ к хранилищу телефона, то оно может промониторить все файлы и естественно находит файлы игры и тд. И оно мониторит системные файлы телефона.

На вопрос о том, может ли приложение "считать" информацию о банковских картах, эксперт ответил отрицательно.

– Это из мира фантастики, из мира ужасов. Во-первых, банк хранит все данные в зашифрованном виде, просто так их невозможно расшифровать. Во-вторых, он никогда не будет хранить на локальном устройстве пользователя такую информацию, как номер карты, CVC-код, срок действия, – поделился Сергей Вакулин.

По мнению эксперта, такие новости больше похожи на чёрный пиар приложения. В то же время Сергей Вакулин отмечает, что если платформа использует HTTP протокол, а не HTTPS, то от её использования лучше воздержаться. Это связано с тем, что у HTTP cуществует определённая уязвимость, которая позволяет проникновение в протокол и перехват данных траффика. А вот HTTPS, в свою очередь, поддерживает технологию шифрования TLS/SSL и является более надёжным.

 

Автор оригинального текста: Даниэль Касильяс