Kiedy na przełomie lipca i sierpnia tego roku pisaliśmy, że prezydent Trump banuje TikToka raczej wszystko wskazywało, że za tą decyzją nie stoi wiedza, a raczej przeczucie. Obecnie właściciel niepokojąco żółtych włosów ma własne problemy, ale okazuje się, że intuicja wiodła go być może we właściwym kierunku. Właśnie pojawił się raport oskarżający chińską firmę o szpiegowanie milionów użytkowników Androida przy użyciu techniki zakazanej przez Google.
Śledzenie użytkowników online?
Według Wall Street Journal, TikTok zastosował taktykę, aby ominąć ochronę prywatności w Androidzie i zebrał unikalne identyfikatory z milionów urządzeń mobilnych. Dane, które pozwalają aplikacji na śledzenie użytkowników online bez umożliwienia im rezygnacji i bez ich pełnej wiedzy.
W artykule TikTok został opisany jako zagrożenie dla bezpieczeństwa narodowego USA, ponieważ istnieją uzasadnione obawy, że dane zebrane przez aplikację mogą zostać wykorzystane do wspierania działań szpiegowskich. Wall Street Journal podał, że TikTok wykorzystywał lukę w zbieraniu adresów MAC przez co najmniej 15 miesięcy. Praktyka ustała w listopadzie 2020 roku.
Adresy MAC są uważane za dane osobowe w ramach COPA (ustawy o ochronie prywatności dzieci w Internecie). Jest to unikalny identyfikator znajdujący się we wszystkich urządzeniach komunikacyjnych z dostępem do Internetu, w tym w urządzeniach z systemem Android i iOS. Adresy MAC mogą służyć do kierowania reklam do określonych użytkowników lub śledzenia i tworzenia dokumentacji osób.
TikTok odpowiedział na ustalenia WSJ, mówiąc: „aktualna wersja TikTok nie zbiera adresów MAC”, ale dochodzenie wykazało, że firma gromadziła te dane przez wiele miesięcy.
Apple iOS blokuje osobom trzecim odczytywanie adresów MAC w ramach funkcji prywatności dodanej w 2013 roku, ale w systemie Android luka, którą można wykorzystać, pozostaje.
Wedłóg WSJ: „TikTok ominął to ograniczenie na Androidzie, stosując obejście, które umożliwia aplikacjom uzyskiwanie adresów MAC bardziej okrężną drogą, co pokazały nasze testy.
Dziura w zabezpieczeniach jest powszechnie znana, choć rzadko używana. Autor raportu złożył formalne doniesienie o błędzie dotyczący problemu w Google w czerwcu ubiegłego roku po odkryciu, że najnowsza wersja Androida nadal nie zamknęła luki. „Byłem zszokowany, że nadal można go wykorzystać” – powiedział.
Raport Reardona dotyczył luki w ogóle, a nie tylko TikTok. Powiedział, że kiedy złożył swój raport o błędzie, firma powiedziała mu, że ma już podobny raport. Google odmówił komentarza WSJ.
Kilka słów o twórcy TikTok
ByteDance czyli Bejing ByteDance Technology Co Ltd. to chińskie przedsiębiorstwo IT. Siedziba przedsiębiorstwa znajduje się w Pekinie. Założone zostało w 2012 roku.
Podstawowym produktem ByteDance jest Toutiao, platforma treści dostępna nie tylko w Chinach, ale i na całym świecie. Toutiao zaczynał jako silnik rekomendacji i dopiero stopniowo zmienił się w platformę dostarczającą treści w różnych formatach, takich jak tekst, obrazy, posty z pytaniami i odpowiedziami, mikroblogi i filmy wideo. Toutiao oferuje użytkownikom spersonalizowane kanały informacyjne, które są zasilane przez algorytmy uczenia maszynowego. Kanały treści są aktualizowane na podstawie tego, czego maszyna dowiaduje się o preferencjach użytkownika w zakresie czytania.
ByteDance nabył muzyczny start-up Musical.ly i połączył go z TikTok w jedną aplikację pod nazwą TikTok.
Od listopada 2018 r. ByteDance miało ponad 800 milionów aktywnych użytkowników dziennie (ponad 1 miliard skumulowanych użytkowników) na wszystkich swoich platformach. Spółka została wyceniona na 78 miliardów dolarów od listopada 2018 r. i jest uważana za jedną z najcenniejszych firm na świecie..
TikTok zbierał adresy MAC przez co najmniej 15 miesięcy, zakończył proceder aktualizacją wydaną 18 listopada zeszłego roku, ponieważ ByteDance podlegało intensywnej kontroli w Waszyngtonie.
TikTok połączył adres MAC z innymi danymi urządzenia i wysłał go do ByteDance, gdy aplikacja została po raz pierwszy zainstalowana i otwarta na nowym urządzeniu. Pakiet ten zawierał również identyfikator reklamowy urządzenia, 32-cyfrowy numer mający na celu umożliwienie reklamodawcom śledzenie zachowań konsumentów, jednocześnie dając użytkownikowi pewną miarę anonimowości i kontroli nad swoimi informacjami”.
Chociaż dochodzenie wykazało, że TikTok nie zebrał niezwykłej ilości danych i zazwyczaj był szczery na temat tego, co było przechwytywane, czasopismo odkryło, że firma macierzysta ByteDance podjęła poważne kroki, aby zastosować dodatkowe kroki w celu „ukrycia przechwyconych danych”.
Wall Street Journal podał, że zbadał dziewięć wersji TikTok wydanych w sklepie Google Play w okresie od kwietnia 2018 do stycznia 2020 roku. Analiza ograniczyła się do zbadania, co TikTok zbiera na urządzeniu użytkownika, zanim ten utworzy konto i zaakceptuje Warunki korzystania z aplikacji.
Google powiedział, że bada nowe odkrycie.