TikTok может обходить аудит кода в магазинах приложений Apple и Google, а также менять поведение по своему усмотрению без ведома пользователя.
TikTok обходит защиту безопасности в магазинах приложений Apple и Google и применяет технологии отслеживания устройств, предоставляющие родительской компании ByteDance полный доступ к пользовательским данным. К такому выводу пришли эксперты двух компаний по результатам собственных исследований, проведенных в ноябре 2020 года и январе 2021 года. Представители ByteDance не подтверждают, но и не опровергают результаты исследований, пишет TheWrap. Специалистам издания не удалось получить полный текст обоих исследований, зато они пообщались с пятью независимыми экспертами, подробно изучившими эти исследования. ;
Как выяснили исследователи, TikTok может обходить аудит кода в магазинах приложений Apple и Google, а также менять поведение по собственному усмотрению без ведома пользователя. Этот факт, а также использование технологий для отслеживания устройств весьма необычно для соцсетей и намного превосходит возможности американских приложений наподобие Facebook и Twitter. Тем не менее, сам TikTok утверждает, что его методы стандартные и используются всеми соцсетями, полагающимися на рекламу.
В ходе исследований эксперты обеих компаний изучили исходный код TikTok. В частности, их интересовало, как приложение собирает данные контактов, идентификаторы устройств и действий в буфере обмена и скрывает передачу данных на серверы TikTok.
Как показало исследование, TikTok использует идентификаторы устройств для интеграции рекламы. Другими словами, рекламодатели могут отслеживать пользователей по всем устройствам и установкам.
«Как только рекламодатель получает коррелирующий идентификатор устройства, вся конфиденциальность улетучивается», - говорится в одном из исследований.
Изучив бэкенд, исследователи обнаружили, что приложение ведет себя как браузер. Во время запуска приложение запрашивается с сервера TikTok с помощью моста JavaScript. По словам специалиста, это затрудняет оценку безопасности приложения, потому что она может постоянно меняться. Теоретически это также означает, что TikTok может динамически изменять поведение своего приложения или тестировать определенные вещи «на лету», не отправляя обновления пользователям.
Поскольку код использует множество родных библиотек, он может обходить анализ кода Google Play. Это существенно усложняет реверс-инжиниринг приложения, поскольку код не полагается на системные библиотеки, доступные для разработчиков.
iOS-версия TikTok использует собственную версию видеоплеера, скорее всего для того, чтобы код запускался корректно. Но кастомный видеоплеер также означает сокрытие некоторой активности. Кроме того, приложение полагается на «систему предварительной выборки» для одновременной загрузки множества видео в фоновом режиме, пока пользователь смотрит видео. Это повышает скорость, что в значительной степени делает TikTok таким привлекательным для пользователей. Отслеживая, как долго пользователи задерживаются на контенте или какие видео они пересматривают, алгоритм TikTok может узнавать их интересы и стимулировать вовлечение намного быстрее, чем конкуренты.
Собираем и анализируем опыт профессионалов ИБ