Сотни миллионов пользователей, топы App Store по всему миру и регулярные заголовки СМИ – TikTok всего за два года стал феноменом уровня Instagram, добившись схожей популярности за почти десятикратно меньшее время.
Но взрывная популярность китайской соцсети коротких видео будоражит не только детей, проводящих там целые дни.
Внимание к TikTok приковано и со стороны экспертов по безопасности. Речь не про государственных, ангажированных политикой США, Европы или любой другой страны. Просто людей, которые в курсе, что и как работает.
Эти эксперты и «любители» уже полгода бьют тревогу: TikTok – самая мутная соцсеть из популярных, которая построена вокруг сбора данных.
Так основательно ещё никто не контролировал каждого пользователя. TikTok собирает данные и отправляет их на китайские сервера, а алгоритмы и системы, задействованные в этом, активно скрывает.
Дыма без огня обычно не бывает. В отличие от голословных заявлений без доказательств – см. обвинения Telegram в слежке за россиянами – TikTok ловится за руку и почему-то спокойно уходит, отмахнувшись. Популярность и нежелание разбираться в теме, увы, решают.
Поэтому тем, кто считает, что это «нормально», и «сейчас все так делают», хочу приоткрыть глаза.
Что творит TikTok с вашими данными
Из всех популярных приложений в App Store, TikTok на сегодняшний день – абсолютный рекордсмен по количеству систем слежения и контроля за пользователями. Уровень проработки этих механизмов заоблачно высок и сравним с лучшими достижениями частных шпионских организаций международного или государственного уровня.
На фоне TikTok даже Facebook (Instagram, WhatsApp) и Amazon меркнут. Они как минимум действуют открыто, а где нет, там в итоге «палятся». TikTok тем временем не подчиняется никому, никаким законам и требованиям, кроме желаний китайских владельцев, компании Bytedance.
Целые сообщества любителей и экспертов (например, на Reddit) возникли вокруг попыток «вскрыть» TikTok и разобраться:
▹ что и как он собирает о пользователях
▹ куда эти данные отправляются и как часто
▹ каким образом приложение защищается от желающих его взломать
Так что вот вам неполный список технологий логирования и слежения за пользователями, найденных в ТикТоке.
Часть из них вполне безобидны и не выходят за пределы, скажем, обычной аналитики на большинстве сайтов. Даже на iPhones.ru некоторое из перечисленного ниже сохраняется благодаря системе Google Analytics. Но чем дальше будете листать этот список, тем глубже убедитесь: для социальной сети столько данных не нужно, а уж возможностей – и подавно.
▪ Конфигурация смартфона. В неё входит модель процессора, количество ядер, уникальные идентификаторы «железа», разрешение экрана и плотность пикселей-на-дюйм, объём занимаемой оперативной памяти, объём свободной памяти в накопителе и так далее.
▪ Список установленных приложений. Его собирают как напрямую на Android, так и используя специальные инструменты. Например, работающий в фоне TikTok перехватывает открытие ссылок в сторонних программах, используя доступ к буферу обмена. На этом его поймала iOS 14 неделю назад.
▪ Сетевые данные. Это IP-адрес, отдельно локальный IP, MAC-адрес роутера, ваш MAC-адрес, название точки доступа Wi-Fi.
▪ Наличие джейлбрейка или рута. TikTok никак не реагирует на то или другое, но знает, «взломан» ли ваш смартфон.
▪ Геолокация по GPS. Считывается примерно раз в 30 секунд. Слежение активируется единожды и остаётся активным до ручного отключения в системных настройках смартфона – с момента, как пользователь впервые указал геопозицию поста в TikTok.
▪ Личные данные. Логи SMS-сообщений, список контактов, история звонков. Микрофон смартфона включается даже тогда, когда пользователю это не требуется. В версии TikTok для Китая, Douyin, данные собираются агрессивнее, чаще и глубже.
До последнего пункта было более-менее нормально, типично для многих приложений App Store. Но это могут быть не все данные, которые собирает TikTok – лишь те, которые ранее идентифицировали исследователи.
Помимо них, у приложения есть очень много «особенностей». Ниже только те, что удалось раскопать в замаскированном коде и подтвердить:
▪ Запуск прокси-сервера на устройстве. Якобы задействован для транскодирования медиафайлов, но его реальное назначение неизвестно. У сервера нет защиты или аутентификации – это «дыра».
▪ Открытый протокол HTTP для передачи данных. Использовался до последнего времени. Из-за этого исследователи неоднократно показывали, как легко украсть или подменить данные пользователей TikTok при наличии доступа к одной сети с ними. Можно было даже подменять отображаемые ролики.
▪ Загрузка любого ZIP-архива с сервера и запуск исполняемых файлов в нём. Естественно, поддерживается и распаковка ZIP-архива. Следы кода найдены в Android-версиях TikTok. Цель неизвестна. Этот код также был в «прошлом» поколении сервиса, musical.ly, и его хорошо прятали.
▪ Отключение приложения при запрете передачи личных данных. Если приложение замечает, что пользователь каким-то образом заблокировал соединение TikTok с серверами, принимающими личные данные (например, благодаря DNS-фильтру), то оно отказывается работать. Объективных причин в таком отказе нет.
▪ Отправка данных на 70+ разных серверов, >30% – китайские. Собираемая информация о действиях пользователя постоянно уходит на различные IP-адреса, среди которых больше 30% являются китайскими. Основная их часть принадлежит Alibaba Group, гигантской китайской корпорации-владельца AliExpress, Taobao, Cainao, крупнейшей в мире платёжной системы Alipay и многих других сервисов. В потоке есть банальная рекламная аналитика, но содержимое части пакетов жёстко зашифровано.
TikTok не только следит, но и защищается от любопытных
Попытки «вскрыть» TikTok сопряжены с постоянными проблемами и сложностями. Это не Telegram с его открытым кодом, регулярно публикующемся в интернете.
Эксперты жалуются, что приложение на лету меняет алгоритмы работы, если замечает «подозрительную» активность в сети пользователя (например, спуфер) или сторонний код, взаимодействующий с TikTok и передаваемыми/принимаемыми им данными.
Многое в TikTok настраивается не в самом приложении, а на серверах его разработчика. У Bytedance есть возможность менять существенную часть функциональности клиента соцсети без его обновления через App Store. В том числе алгоритмы трекинга пользователя.
Большая часть кода приложения остаётся замаскированной по сей день, потому что его создатели постоянно модифицируют защиту и оперативно реагируют на попытки разобраться в алгоритмах работы сервиса.
Несколько компаний, занимающихся «пентестингом» (проверкой безопасности систем через взлом), уже поднимали вопрос про TikTok и приходили к аналогичному мнению: приложение необычно сильно завязано на сборе данных – больше, чем любая другая популярная социальная сеть.
И что теперь?
Общая проблема глобальных сервисов азиатского и китайского происхождения заключается в том, что они могут беспрепятственно игнорировать правила защиты персональных данных в любой стране и продолжать там работать.
Facebook распинают за их рекламные политики уже пять лет подряд. Google достаётся постоянно, даже Apple задевает. А TikTok только недавно начали упоминать в подобном контексте. Да и то без сильного интереса.
Китайская компания может плюнуть на GDPR, базовые принципы защиты данных и вытащить сервис на мировой уровень хайпом и деньгами. Наказывать её некому, кроме самих китайцев. Единственный способ влияния, который может сработать – термоядерный: тотальный запрет на территории страны.
На прошлой неделе именно так поступила Индия, заодно «забанив» несколько десятков сервисов других крупных техногигантов КНР. Армия США тоже запретила TikTok.
Нельзя забывать и то, что внутри Китая который год подряд растёт давление на крупные технологические компании. Коммунистическая партия Китая, помимо уже легендарной мега-цензуры, всё сильнее присматривает за «правильностью» контента и его соответствию «ценностям социализма». В таком климате заставить Bytedance встроить что угодно в свои продукты – дело одного звонка.
В целом картина складывается так. Западные страны боятся государственного и частного шпионажа Китая – вспоминаем Huawei и ZTE. А TikTok, принадлежащий китайской компании, следит за пользователями активнее других социальных сетей. И на деле не пытается это объяснять или оправдывать, за исключением общих фраз.
Америка напрягается, Европа прислушивается, Индия вообще банит. Посмотрев на работу приложения, начинаешь их понимать.
Единственно правильным решением здесь, ИМХО, может быть только такое: удалить TikTok со своего смартфона.
А если не удалите, то теперь хотя бы примерно будете знать, что отправляете в Китай – непонятно кому и зачем.
24 комментариев
Форум →В нашей стране это ? точно надо запретить, взрослые и дети как с ума сошли, с этой херней ещё больше деградировать стали.
@s1oKe, YouTube лучше, духовней?))
@xshron, безусловно:)
@xshron, опять же, смотря как им пользоваться…но больше полезного и приятного, это точно.
@s1oKe, те смотрит тик-ток, в ютубе будут искать такой же по смыслу контент…потому без разницы)) Ранее тут многие возмущались, что нельзя людей ограничивать в их выборе приложений, дескать это их личное дело, а тут какая-то цензура вырисовывается.
@s1oKe, а может мы сами решим чем пользоваться а чем нем без ваших собачьих советов?))
@Andrey-lights, если вы смотрите это г…о, то сами вы уже мало что решите, от этого у вас мозги ? заплывают….и туговато соображают.
@s1oKe, не собираюсь как ВЫ с пеной у рта чего то доказывать. Если у тебя ТТ ассоциируется только со школотой и биомусором – это твои проблемы. Ленту там можно настроить по своим интересам.
За то ТикТок не банит комментарии как сейчас делают ВСЕ наши сайты!
Зачем вообще эта параша на телефоне нужна? Банальный и избитый вопрос конечно, но все же…
Из-за одного конченного названия уже не хочется устанавливать это говно
для разного рода куропаток вроде Насти Ивлевой еще одна площадка монетизации разжижения мозга у населения
Приложение для имбицилов, всегда его терпеть не мог.
А с китаем всегда нужно быть бдительным, нация хитрая и очень опасная!
@bt19, имбЕцилов. А так да, согласен :)
Я думал только у меня оно не установлено!
Решение в этой ситуации только одно: не стоит устанавливать это недоразумение
Молодцы китайцы – не разочаровали.
Продолжайте в том же духе и обосновывать почему ваши технологические компании должны пойти нахер с европейского и американского рынков станет станет гораздо легче.
Приложение для дегенератов и школьников (в принципе, одно и то же).
Ни за что бы не установил это г##но, когда есть Реддит.
Создал фейк в инсте, так приложение откуда то вытянуло мой номер телефона и просит его указать в профиле. Кто дал такое право?
Вот только ничего нового. Достаточно посмотреть на ситуацию с Huawei. Вообще какой уровень наивности может быть, что бы последние 20 лет было игнорировать коммунистическую угрозу и только сейчас обратить внимание.
Ни одно комментария формата “а мне нечего скрывать, пусть собирают”. Прямо странно. :)
Как разработчик приложений для iOS скажу, что все что перечислено сливает любое приложение с подключенной аналитикой, даже непонятно что все так удивляются)) стоит подключить Firebase и вот они все данные. До смс и звонков, вашего мак адреса доступа на iOS нет. Контакты и геолокацию сливает любая соц сеть или месенджер. Если приложение слушает микрофон у вас на экране появится иконка, у разработчика нет возможности это сделать незаметно. А наличие в коде возможности распаковать зип архив вообще непонятно чем и кому опасно. На http почти все сервисы работали еще несколько лет назад. И какая разница на сколько серверов эти данные уходит))
А в чем собственно проблема? Пользователи используют Facebook, Instagram, Tiktok, VK и другие приложения для того что бы слить информацию о самих себе, даже принуждать не нужно. И в принципе анонимов в сети не существует. Переживаете о слежке? Выбросите телефон, отключитесь от интернета и бегите в лес питаясь своими заготовками.
Кто-то придумает хотя бы один рабочий кейс использования собранных тик-ток данных? Или мы просто боимся “как бы чего не вышло”?
Я не использую ТТ, но у меня и ФБ, и ВК, и прочие собиратели информации. И что-то я не парюсь, что моими данными кто-то будет обладать. Спецслужбы и так все знают, а прочие могут и без приложений узнать у тех же спецслужб :)
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как на iPhone добавить часы с секундной стрелкой
Как перематывать видео в TikTok
Как поменять учетную запись в Apple Music
Как вернуть приложение Найти друзей на iOS 7 или старый iPhone? Установка старых приложений из App Store
Почему в iPhone 5 не работает LTE у оператора Мегафон?
Как отключить прием звонков в Telegram на iPhone или Mac
Как отключить слежку за вашей геопозицией в iPhone
Как сохранять настройки в стандартном приложении Камера на iPhone