TikTok szpieguje Cię bez umiaru, dlaczego powinieneś go usunąć?

Tiktok Szpieguje Cie Bez Umiaru Dlaczego Powinienes Go Usunac

Dużą burzę w internecie wywołał Tweet z 28 czerwca od użytkownika Dan Okopnyi. A wszystko zaczęło się od posta na Reddicie. Sprawa jest tak poważna, że rząd Indii zbanował aplikację, a nawet Pentagon zakazuje używać tej aplikacji amerykańskim żołnierzom. Jak na razie TikTok milczy i nigdzie nie ma oficjalnego stanowiska w tej sprawie.

Jakie informacje odnośnie TikToka wyszły na jaw?

Jeden z użytkowników Reddita twierdzi, że dokonał inżynierii wstecznej aplikacji TikToka (w wersji zarówno na iOS, jak i Androida), aby dowiedzieć się, w jaki sposób aplikacja działa i co robi. W wersji TL:DR, jeśli jest jakiekolwiek API (czyli sposób komunikacji aplikacji z systemem), które pozwala na uzyskanie informacji, TikTok go używa. Ponadto oprócz tego jest bardzo duża ilość potencjalnych zagrożeń bezpieczeństwa.

TikTok ma według informacji uzyskanych z inżynierii wstecznej dostęp do następujących informacji:

  • Dane dotyczące telefonu (serial number, używane podzespoły, id podzespołów używane do identyfikacji, dpi, rozdzielczość ekranu, zużycie pamięci RAM oraz procesy w tle, ilość wolnego miejsca w smartfonie itp);
  • Dokładna lista zainstalowanych programów (badacz wspomina, że TikTok w wiadomości która wysyła na swoje serwery załącza także nazwy odinstalowanych już programów);
  • Wszelkie informacje dotyczące sieci (adres IP zewnętrzny oraz lokalny, MAC adres routera, MAC adres urządzenia którego używasz, nazwa sieci WiFi);
  • Czy twoje urządzenie ma roota/jailbreaka;
  • Niektóre wersje aplikacji miały aktywne tzw. pingowanie GPS. Co 30 sekund aplikacja wysyłała lokalizacje użytkownika. Opcja ta była aktywna w przypadku gdy miało się aktywne tagowanie miejsca w postach, które wrzucaliśmy;
  • Aplikacja stawiała lokalny serwer proxy dla „transkodowania plików”, choć badacz twierdzi że można w prosty sposób wykorzystywać go do bardziej niecnych celów.

Ok boomer, ale nawet Facebook szpieguje.

Najlepiej podsumuje to ten mem

Sam badacz wspomina, że najstraszniejsze w TikToku jest to, że ilość informacji jaką zbierają jest zdalnie konfigurowalna. A żeby uzyskać pełen obraz tego co aplikacja robi potrzeba przeanalizować kod, który jest „zaciemniony” (obfuscated), co jest zadaniem prawie niemożliwym ze względu na ilość kodu w aplikacji. Ponadto aplikacja jest trudna do debugowania i analizy ze względu na to, że zmienia swoje zachowanie w przypadku wykrycia prób zrozumienia w jaki sposób ona działa.

Ponadto badacz dokopał się do niebezpiecznych funkcji w kodzie aplikacji na Androida. Pozwalają one na wymuszenie zdalnego pobierania paczki zip, wypakowanie jej i wykonywanie kodu który jest w niej zawarty. Jak poprzednie funkcje jeszcze można w jakikolwiek usprawiedliwić, tak ta nie powinna mieć miejsca. Zapytacie dlaczego jest to tak wielkim zagrożeniem? Zacytuję tutaj Reddita, co TikTok może zrobić ze smartfonem ofiary:

  • Telefon może stać się częścią botnetu wykorzystywanego w niecnych celach;
  • Może zostać zainstalowany keylogger, który będzie zbierał wszystko to co wprowadzamy (np. numery kart, loginy, hasła itp);
  • Nagrywać rozmowy
  • Czytać wiadomości (szczególnie niebezpieczne w połączeniu z keyloggerem ponieważ łatwo można wtedy obejść zabezpieczenie 3D Secure);
  • Wysyłać pliki z naszego telefonu;
  • Rozsyłać na inne urządzenia w otoczeniu (za pomocą WiFi lub Bluetooth) złośliwe oprogramowanie;
  • Przechwytywać ruch sieciowy.

Teoretycznie tak poważne naruszenia możliwe są tylko przy wykorzystywaniu luk w systemie, jednak ilość informacji jakie zbiera TikTok pozwalałaby teoretycznie na załadowanie spersonalizowanego exploita który pozwoliłby na przejęcie pełnej kontroli.

Problemy z szyfrowaniem danych na TikToku

Normalnie aplikacje zbierające dane w ten sposób co TikTok przesyłają je w szyfrowanym tunelu, jednak TikTok przez bardzo długi czas wysyłał wiadomości w tzw. plain-text. Co to oznacza? W przypadku gdy korzystaliśmy z publicznych sieci i ktoś ustawił nasłuch, wyciekały nasze informacje tj: adres email, nazwa użytkownika (w przypadku konta założonego przez FB było to nasze imię i nazwisko) oraz data urodzin. Dane wydają się być niezbyt wrażliwe, jednak pamiętajmy kto jest grupą docelową TikToka.

Ostatnie aktualizacje zmieniły to jednak, przy okazji zmieniając algorytm szyfrujący przy każdej aktualizacji, aby nie można było podejrzeć, co jest wysyłane na serwery. Warto tutaj wspomnieć o dodatkowej cesze aplikacji, jeśli zablokujemy ich serwery, na które wysyłane są dane analityczne na poziomie DNS, aplikacja przestanie nam całkowicie działać.

Na zakończenie

tobrown05 wspomina, że dokonał podobnej analizy aplikacji Instagrama, Twittera, Facebooka oraz Reddita. Żadna z nich nie zbierała podobnie wielkiej ilości danych co TikTok oraz żadna z nich nie próbowała ukryć tego co zbiera w przeciwieństwie do wspomnianej aplikacji. Dodatkowo warto tutaj wspomnieć ze Zimperium (czyli jedni z większych ekspertów w dziedzinie bezpieczeństwa), uznali, że aplikacja TikToka na Androidzie jest wysokim zagrożeniem pod względem prywatności i bezpieczeństwa.

Moim zdaniem, jeśli zależy ci na prywatności, w tej sytuacji pozostają tylko dwie możliwe opcje. Usuń TikToka a jeśli posiadasz roota uruchamiaj go w sandboxie karmiąc go fałszywymi informacjami.

Źródła: 1, 234

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Przewiń do góry