Скандал с TikTok: как приложение получает доступ к ВТС-адресам и не только

Скандал с TikTok: как приложение получает доступ к ВТС-адресам и не только

Устанавливая мобильные приложения на смартфон, мало кто осознает, что подвергает себя риску кражи конфиденциальной информации, тем не менее такая возможность реально существует. В махинациях с перехватом личных данных были замечены десятки мобильных приложений: программы для игр, развлечений, общения, просмотра новостей и так далее. В их числе и популярное приложение TikTok, которое в последнее время все чаще обвиняют в массовой слежке за пользователями. Согласно сразу нескольким исследованиям программистов, TikTok собирает шокирующее количество информации — во много раз больше, чем Instagram, Facebook или Twitter. Кто конкретно и почему обвиняет приложение в шпионаже и что говорят в ответ его создатели — читайте подробности в материале от DeCenter.

Зимой против TikTok был подан групповой иск

Первые обвинения в шпионаже появились еще в декабре 2019 года, когда на сервис TikTok и пекинскую компанию ByteDance, которой он принадлежит, был подан групповой иск в федеральный окружной суд США штата Калифорния. Иск обвиняет приложение в тайном сборе личных данных пользователей и их последующей передаче на удаленные сервера, базирующиеся в Китае.

В частности, в документе говорится, что политика конфиденциальности приложения весьма «неоднозначна», что допускает идентификацию и отслеживание пользователей на территории Соединенных Штатов. Тем самым компания может извлекать выгоду из предполагаемой деятельности такого рода, поскольку эти данные могут использоваться для показа целевой рекламы. Также утверждается, что TikTok может собирать биометрические данные о своих пользователях посредством обработки видеороликов, где лица людей очень часто показываются крупным планом. Когда пользователь снимает видео и нажимает кнопку «Далее», видео переносятся на разные домены без его ведома. Причем это происходит даже прежде, чем юзер сохранит или разместит видео в своем аккаунте.

«Беззаботное веселье с TikTok дается высокой ценой», — отмечают инициаторы иска.

Весной TikTok попал под прицел программистов

В конце марта программисты Талал Хай Бакри и Томми Миск провели исследование и выявили, что более 50 приложений для смартфонов, в числе которых и TikTok, скрытым образом собирают данные пользователей. По их словам, эти данные могут содержать биткоин-адреса, ссылки для восстановления пароля, фрагменты личной переписки и другую конфиденциальную информацию, попадающую в буфер обмена.

Видео о проделанной работе исследователи выложили на своем канале в YouTube. В нем отмечается, что приложения регулярно обращаются к буферу обмена, хотя для обеспечения их функционирования это совершенно не требуется. Возникает резонный вопрос — тогда для чего? Даже если предположить, что это всего лишь обычное упущение разработчиков и ничего злонамеренного они не замышляют, сама ситуация все же создает определенный дискомфорт — почему при каждом копировании/вводе данных нужно опасаться, что их могут украсть и впоследствии скомпрометировать? Ведь нет никаких гарантий, что это не случится.

Параллельно собственное расследование провел и другой инженер-программист. Результаты он разместил в своем аккаунте на Reddit под ником bangorlol. На данный момент изначальный пост уже отредактирован, но оригинал все же сохранился благодаря вот этому твиту.

Парень на Reddit показал обратную сторону TikTok. Вот что он обнаружил в данных, которые приложение собирает о вас. Это гораздо серьезнее, чем просто воровство из буфера обмена.

В частности, bangorlol заявил, что сервис получает как личную информацию пользователей, так и данные их устройств — спектр невероятно широк. Также он выяснил, что в течение долгого времени приложение не использовало защищенное соединение https, в связи с чем имейлы пользователей, их имена и даты рождения были доступны для просмотра.

Кроме того, программист отметил, что проанализировал Instagram, Facebook и Twitter и выявил, что все они вместе взятые собирают гораздо меньше сведений, чем TikTok. Подытожив результаты, bangorlol призвал людей удалить вредоносное приложение со своих телефонов.

TikTok способен на универсальную слежку

Зачастую шпионаж выходит за рамки отдельно взятого устройства. Так, если два или более устройств Apple используют один и тот же Apple ID и при этом располагаются в пределах трех метров друг от друга — они используют общий буфер обмена, то есть контент можно копировать с одного девайса на другой. Таким образом все связанные устройства рискуют стать жертвой программы-перехватчика, которая установлена хотя бы на одном из них. Об этом Томми Миск также записал видео. Он подчеркнул крайнюю опасность ситуации и призвал людей быть предельно осторожными.

Тогда же, в марте, как сообщает The Telegraph, представитель TikTok пообещал устранить проблему в течение нескольких ближайших недель. Но, как недавно выяснилось, своих обещаний не сдержал.

Версия iOS 14 вывела шпионов на чистую воду

На днях вышла обновленная версия мобильной операционной системы iOS, которая пока доступна только в режиме бета-тестирования. Добавленная в нее функция предупреждает пользователя всякий раз, когда какое-либо из установленных на смартфон приложений собирается читать содержимое буфера обмена.

Начав использовать iOS 14, тестеры быстро поняли, как много приложений пытаются залезть в их личные данные и как часто они это делают. На этом коротеньком видео, которое всего за неделю с момента публикации набрало почти 130 000 просмотров, продемонстрировано, каким образом происходит вывод уведомлений на экран.

Обновление позволило увидеть, что команда TikTok не сдержала своих мартовских обещаний. Как оказалось, информация из буфера обмена по-прежнему собирается, причем с невероятной скоростью. Об этом написал в своем твиттере один из обладателей бета-версии, приложив в доказательство видеоролик.

Что ж, TikTok захватывает содержимое моего буфера обмена каждые 1–3 удара по клавишам. iOS 14 стучит на него с помощью новых уведомлений.

Кроме того, против TikTok активно выступает и хакерская группа Anonymous, известная своей неоднозначной репутацией и резонансными заявлениями, в том числе и в адрес полиции Миннеаполиса в связи с недавними событиями в США. В Twitter они развернули настоящую «анти-тиктоковскую» кампанию с радикальными высказываниями и громкими призывами.

Удалите TikTok сейчас же. Если вы знаете людей, использующих это приложение, разъясните им, что фактически это вредоносное ПО, которым управляют власти Китая, организовавшие массовую шпионскую операцию.

Более того, члены хакерской организации считают, что TikTok помогает властям Китая не только собирать данные, но и проводить детальный анализ поведения пользователей платформы. Примечательно, что 69% пользователей TikTok — подростки и молодые люди в возрасте от 13 до 24 лет.

Tiktok собирает данные о детях/подростках с целью контролировать охват рынка и их политическое развитие, чтобы находить лучшие методы их принуждения в течение следующих 5–10 лет. Это дает Китаю преимущество в манипулировании широкими слоями общества сразу в целом ряде стран.

По мнению одного из авторов Forbes, это ставит TikTok в довольно уникальное положение, поскольку против него в одном и том же деле объединились конфронтационные стороны: правительства разных стран, включая США, и хакерская группировка.

Как отреагировал TikTok на сложившуюся ситуацию

После того как в соцсетях поднялась новая волна публикаций о TikTok, представители компании сделали заявление:

«После запуска тестовой версии iOS 14 пользователи увидели соответствующие оповещения при использовании некоторых популярных приложений. Что касается TikTok, это делалось с целью защититься от спама. Мы уже обновили приложение в App Store, убрав эту функцию во избежание возможных недоразумений. TikTok стоит на страже личных данных пользователей и прозрачности работы нашего приложения. Мы с нетерпением ждем возможности пригласить внешних экспертов в наш “Центр Прозрачности” в конце этого года».

Действительно, в последнем обновлении блога Талал Хай Бакри и Томми Миск вычеркнули TikTok из списка программ, читающих буфер обмена. Однако доверие к приложению уже изрядно подорвано, и нет гарантий, что его разработчики не пойдут на какие-то новые ухищрения.

В связи с этим Миск заявил, что функция оповещений в iOS — удачное начало, однако в конечном счете Apple и Google нужно сделать больше:

Первое: подключить функцию разрешения доступа к буферу обмена только по запросу, как сейчас происходит процедура доступа к микрофону или камере устройства.

Второе: обязать разработчиков предоставлять полную информацию о том, к каким данным будет обращаться приложение и с какой целью.

Чем же TikTok опаснее других приложений-перехватчиков

Разумеется, все приложения, тайно собирающие данные пользователей, потенциально несут одинаковую опасность. Однако масштабы распространения этой опасности напрямую зависят от численности аудитории, использующей приложение. Именно по этой причине разоблачители и поставили TikTok на одно из первых мест — его популярность растет стремительными темпами.

Исходя из ежегодных отчетов Apple о наиболее часто загружаемых приложениях на iPhone, к концу 2018 года TikTok занимал 16 позицию в рейтинге, а спустя год поднялся на четвертую, уступая лидерство YouTube, Instagram и Snapchat. Однако на этом рост его популярности вряд ли остановится. Как сообщает Bloomberg, лишь за первый квартал нынешнего года TikTok скачали 315 млн раз, что составляет практически половину от скачиваний за весь прошлый год. Так что потенциал налицо — на данный момент у него свыше 800 млн пользователей. А теперь представьте, что вся эта огромная аудитория ежесекундно ставит под угрозу конфиденциальность своих личных данных. Проблема и в самом деле масштабная.

Никогда не теряйте бдительность

В заключение напомним, что вопрос сохранности личных данных крайне важен, в том числе и для криптодержателей. На данный момент пользователи смартфонов, планшетов и прочих девайсов должны осознавать, что вся информация, хранящаяся в буфере обмена, может стать доступной любому из установленных приложений. А в случае с общим буфером обмена, как на устройствах Apple, утечка возможна даже через близлежащие связанные девайсы.

При появлении хотя бы малейших подозрений в слежке не забывайте очищать буфера обмена после использования, например, копируйте вместо важной информации кусочек любого «левого» текста. По большому счету, лучше делать это каждый раз в целях предосторожности. А если на вашем устройстве установлен криптокошелек, и вы постоянно вводите мнемоническую фразу, воспользуйтесь рекомендациями из этой статьи. Одним словом, будьте всегда начеку — безопасность прежде всего!

Подписаться
на DeCenter в Telegram