«Это замаскированный под соцсеть сервис для сбора данных»: программист исследовал TikTok

Пользователь Reddit с ником Bangorlol утверждает, что ему удалось провести исследование кода популярного приложения TikTok, пишет Qostanay.TV со ссылкой на rozetked.me.

Выяснилось, что приложение собирает следующие нетипичные для социальной сети данные:

  • Данные об аппаратных параметрах (тип процессора, идентификаторы, размеры экрана, дисковое пространство и т.д.)-
  •  Данные о других установленных приложениях, в том числе удалённых после установки TikTok;
  • Данные о сети (IP-адрес, локальный IP, Mac-адрес, имя точки доступа Wi-Fi);
  • Наличие прав суперпользователя;
  • В некоторых случаях — получение геолокации через GPS раз в 30 секунд.

Bangorlol назвал TikTok «сервисом для сбора данных, замаскированный под соцсеть». Он также выяснил, что долгое время приложение не использовало защищённый протокол HTTPS для передачи данных. Адреса электронной почты пользователей, имена и даты рождения были свободно доступны для просмотра. Самое страшное — то, что команды на сбор большей части перечисленных данных могут настраиваться удалённо.

Приложение для Android содержит фрагменты кода, предназначенные для загрузки ZIP-файла из сети, извлечения содержимого и запуска указанного двоичного файла — это может использоваться для выполнения удалённых команд, заявил Bangorlol. Разработчики сделали так, чтобы максимально затруднить понимание внутренних принципов работы приложений TikTok.

Предусмотрено несколько средств защиты от отладки программы, а также шифрование аналитических запросов при помощи алгоритма, который меняется с каждым обновлением. Bangorlol также упомянул, что исследовал приложения Instagram, Facebook, Reddit и Twitter. Так вот, ни одно из них не собирает столько данных, сколько TIkTok.

Это не первое исследование приложения TikTok, в котором заявляется об опасности сервиса. Компания Penetrum ранее выяснила, что приложение собирает массу данных об устройстве и пользователе. Оно активно использует сервера Alibaba, политика безопасности которой допускает передачу личной информации третьим лицам. Плюс ко всему, приложение применяет потенциально небезопасные программные решения.

Также благодаря функции уведомления о запрашивании содержимого буфера обмена в iOS 14 выяснилось, что TikTok в постоянном режиме изучает, что скопировал пользователь. TikTok имеет 800 млн активных пользователей в месяц. Приложение продолжительное время держится в списке 25 самых популярных приложений многих стран.