Instagram, Facebook и Twitter могут показаться безопасными приложениями с защитой конфиденциальности, если сравнивать их с TikTok. Так утверждает пользователь Reddit с ником Bangorlol, который исследовал код приложения и выяснил принципы его работы.
В комментарии под постом с обсуждением TikTok он поделился своими познаниями о китайском видеосервисе. Имея, по его словам, пятнадцатилетний профессиональный опыт программирования, Bangorlol выяснил, что TikTok – это сервис сбора данных, который маскируется как социальная сеть. Учитывая, что приложение находится в топе загрузок как для iOS, так и для Android, этот факт вызывает большую тревогу.
Кроме информации о пользователе и его контактах, TikTok собирает следующие данные:
Технические характеристики устройства: тип процессора, серийные номера, аппаратные идентификаторы, размеры экрана, dpi, использование памяти, дисковое пространство и многое другое;
Список установленных приложений, в том числе и ранее удалённых;
Сетевая информация: IP, локальный IP, mac-адрес, имя точки доступа wifi и другое;
Наличие или отсутствие Рут-прав на устройстве;
В некоторых случаях определение местоположения через GPS каждые 30 секунд.
Самым страшным Bangorlol назвал тот факт, что команды на сбор данных настраиваются удалённо. В самом приложении эти функции тщательно замаскированы. Для этого разработчики использовали несколько различных средств защиты, которые не позволяют выполнить отладку приложения.
TikTok шифрует все аналитические запросы с помощью алгоритма, который меняется с каждым обновлением. Bangorlol считает, что это сделано для того, скрыть факт сбора такого обширного массива данных. Кроме того, при блокировке связи с их узлом аналитики на уровне DNS, использование приложения невозможно.
В версии для Android также есть несколько фрагментов кода, которые позволяют загрузить удаленный zip-файл, разархивировать его и выполнить бинарный код. Пару дней назад пользователи iOS 14 обнаружили, что TikTok очень активно обращается к буферу обмена. Для социальной сети, позиционирующей себя как сервис обмена видео, такая возможность, откровенно говоря, очень подозрительна.
Помимо всего вышеперечисленного, TikTok долгое время не использовал HTTPS. В связи с этим адреса электронной почты пользователей, а также их имена и дни рождения, были доступны для просмотра. Bangorlol резюмирует, что TikTok, по своей сути, – вредоносное приложение, и его использование крайне опасно.
Ранее китайская администрация по киберпространству наложила штрафные санкции на онлайн-видеосервис Xigua, который принадлежит пекинскому владельцу популярного в последнее время приложения TikTok ByteDance. Компанию наказали за «уход от ценностей социализма»:
Игорь Савкин
