TikTok – не социальная сеть, а узаконенная слежка

Никита Горяинов avatar | 26
FavoriteLoading В закладки
TikTok – не социальная сеть, а узаконенная слежка

Сотни миллионов пользователей, топы App Store по всему миру и регулярные заголовки СМИ – TikTok всего за два года стал феноменом уровня Instagram, добившись схожей популярности за почти десятикратно меньшее время.

Но взрывная популярность китайской соцсети коротких видео будоражит не только детей, проводящих там целые дни.

Внимание к TikTok приковано и со стороны экспертов по безопасности. Речь не про государственных, ангажированных политикой США, Европы или любой другой страны. Просто людей, которые в курсе, что и как работает.

Эти эксперты и «любители» уже полгода бьют тревогу: TikTok – самая мутная соцсеть из популярных, которая построена вокруг сбора данных.

Так основательно ещё никто не контролировал каждого пользователя. TikTok собирает данные и отправляет их на китайские сервера, а алгоритмы и системы, задействованные в этом, активно скрывает.

Дыма без огня обычно не бывает. В отличие от голословных заявлений без доказательств – см. обвинения Telegram в слежке за россиянами – TikTok ловится за руку и почему-то спокойно уходит, отмахнувшись. Популярность и нежелание разбираться в теме, увы, решают.

Поэтому тем, кто считает, что это «нормально», и «сейчас все так делают», хочу приоткрыть глаза.

Что творит TikTok с вашими данными

Из всех популярных приложений в App Store, TikTok на сегодняшний день – абсолютный рекордсмен по количеству систем слежения и контроля за пользователями. Уровень проработки этих механизмов заоблачно высок и сравним с лучшими достижениями частных шпионских организаций международного или государственного уровня.

На фоне TikTok даже Facebook (Instagram, WhatsApp) и Amazon меркнут. Они как минимум действуют открыто, а где нет, там в итоге «палятся». TikTok тем временем не подчиняется никому, никаким законам и требованиям, кроме желаний китайских владельцев, компании Bytedance.

Целые сообщества любителей и экспертов (например, на Reddit) возникли вокруг попыток «вскрыть» TikTok и разобраться:

что и как он собирает о пользователях
куда эти данные отправляются и как часто
каким образом приложение защищается от желающих его взломать

Так что вот вам неполный список технологий логирования и слежения за пользователями, найденных в ТикТоке.

Часть из них вполне безобидны и не выходят за пределы, скажем, обычной аналитики на большинстве сайтов. Даже на iPhones.ru некоторое из перечисленного ниже сохраняется благодаря системе Google Analytics. Но чем дальше будете листать этот список, тем глубже убедитесь: для социальной сети столько данных не нужно, а уж возможностей – и подавно.

Конфигурация смартфона. В неё входит модель процессора, количество ядер, уникальные идентификаторы «железа», разрешение экрана и плотность пикселей-на-дюйм, объём занимаемой оперативной памяти, объём свободной памяти в накопителе и так далее.

Список установленных приложений. Его собирают как напрямую на Android, так и используя специальные инструменты. Например, работающий в фоне TikTok перехватывает открытие ссылок в сторонних программах, используя доступ к буферу обмена. На этом его поймала iOS 14 неделю назад.

Сетевые данные. Это IP-адрес, отдельно локальный IP, MAC-адрес роутера, ваш MAC-адрес, название точки доступа Wi-Fi.

Наличие джейлбрейка или рута. TikTok никак не реагирует на то или другое, но знает, «взломан» ли ваш смартфон.

Геолокация по GPS. Считывается примерно раз в 30 секунд. Слежение активируется единожды и остаётся активным до ручного отключения в системных настройках смартфона – с момента, как пользователь впервые указал геопозицию поста в TikTok.

Личные данные. Логи SMS-сообщений, список контактов, история звонков. Микрофон смартфона включается даже тогда, когда пользователю это не требуется. В версии TikTok для Китая, Douyin, данные собираются агрессивнее, чаще и глубже.

До последнего пункта было более-менее нормально, типично для многих приложений App Store. Но это могут быть не все данные, которые собирает TikTok – лишь те, которые ранее идентифицировали исследователи.

Помимо них, у приложения есть очень много «особенностей». Ниже только те, что удалось раскопать в замаскированном коде и подтвердить:

Запуск прокси-сервера на устройстве. Якобы задействован для транскодирования медиафайлов, но его реальное назначение неизвестно. У сервера нет защиты или аутентификации – это «дыра».

Открытый протокол HTTP для передачи данных. Использовался до последнего времени. Из-за этого исследователи неоднократно показывали, как легко украсть или подменить данные пользователей TikTok при наличии доступа к одной сети с ними. Можно было даже подменять отображаемые ролики.

Загрузка любого ZIP-архива с сервера и запуск исполняемых файлов в нём. Естественно, поддерживается и распаковка ZIP-архива. Следы кода найдены в Android-версиях TikTok. Цель неизвестна. Этот код также был в «прошлом» поколении сервиса, musical.ly, и его хорошо прятали.

Отключение приложения при запрете передачи личных данных. Если приложение замечает, что пользователь каким-то образом заблокировал соединение TikTok с серверами, принимающими личные данные (например, благодаря DNS-фильтру), то оно отказывается работать. Объективных причин в таком отказе нет.

Отправка данных на 70+ разных серверов, >30% – китайские. Собираемая информация о действиях пользователя постоянно уходит на различные IP-адреса, среди которых больше 30% являются китайскими. Основная их часть принадлежит Alibaba Group, гигантской китайской корпорации-владельца AliExpress, Taobao, Cainao, крупнейшей в мире платёжной системы Alipay и многих других сервисов. В потоке есть банальная рекламная аналитика, но содержимое части пакетов жёстко зашифровано.

TikTok не только следит, но и защищается от любопытных

Попытки «вскрыть» TikTok сопряжены с постоянными проблемами и сложностями. Это не Telegram с его открытым кодом, регулярно публикующемся в интернете.

Эксперты жалуются, что приложение на лету меняет алгоритмы работы, если замечает «подозрительную» активность в сети пользователя (например, спуфер) или сторонний код, взаимодействующий с TikTok и передаваемыми/принимаемыми им данными.

Многое в TikTok настраивается не в самом приложении, а на серверах его разработчика. У Bytedance есть возможность менять существенную часть функциональности клиента соцсети без его обновления через App Store. В том числе алгоритмы трекинга пользователя.

Большая часть кода приложения остаётся замаскированной по сей день, потому что его создатели постоянно модифицируют защиту и оперативно реагируют на попытки разобраться в алгоритмах работы сервиса.

Несколько компаний, занимающихся «пентестингом» (проверкой безопасности систем через взлом), уже поднимали вопрос про TikTok и приходили к аналогичному мнению: приложение необычно сильно завязано на сборе данных – больше, чем любая другая популярная социальная сеть.

И что теперь?

Общая проблема глобальных сервисов азиатского и китайского происхождения заключается в том, что они могут беспрепятственно игнорировать правила защиты персональных данных в любой стране и продолжать там работать.

Facebook распинают за их рекламные политики уже пять лет подряд. Google достаётся постоянно, даже Apple задевает. А TikTok только недавно начали упоминать в подобном контексте. Да и то без сильного интереса.

Китайская компания может плюнуть на GDPR, базовые принципы защиты данных и вытащить сервис на мировой уровень хайпом и деньгами. Наказывать её некому, кроме самих китайцев. Единственный способ влияния, который может сработать – термоядерный: тотальный запрет на территории страны.

На прошлой неделе именно так поступила Индия, заодно «забанив» несколько десятков сервисов других крупных техногигантов КНР. Армия США тоже запретила TikTok.

Нельзя забывать и то, что внутри Китая который год подряд растёт давление на крупные технологические компании. Коммунистическая партия Китая, помимо уже легендарной мега-цензуры, всё сильнее присматривает за «правильностью» контента и его соответствию «ценностям социализма». В таком климате заставить Bytedance встроить что угодно в свои продукты – дело одного звонка.

В целом картина складывается так. Западные страны боятся государственного и частного шпионажа Китая – вспоминаем Huawei и ZTE. А TikTok, принадлежащий китайской компании, следит за пользователями активнее других социальных сетей. И на деле не пытается это объяснять или оправдывать, за исключением общих фраз.

Америка напрягается, Европа прислушивается, Индия вообще банит. Посмотрев на работу приложения, начинаешь их понимать.

Единственно правильным решением здесь, ИМХО, может быть только такое: удалить TikTok со своего смартфона.

А если не удалите, то теперь хотя бы примерно будете знать, что отправляете в Китай – непонятно кому и зачем.

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (66 голосов, общий рейтинг: 4.83 из 5)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Решение в этой ситуации только одно.
Прокомментировать

🙈 Комментарии 26

  1. s1oKe avatar
    s1oKe7 июля в 16:19
    24

    В нашей стране это 💩 точно надо запретить, взрослые и дети как с ума сошли, с этой херней ещё больше деградировать стали.

    xshron avatar
    xshron7 июля в 19:16
    1

    @s1oKe, YouTube лучше, духовней?))

    Илон Маск avatar
    Илон Маск7 июля в 19:51
    7

    @xshron, безусловно:)

    s1oKe avatar
    s1oKe7 июля в 20:25
    0

    @xshron, опять же, смотря как им пользоваться…но больше полезного и приятного, это точно.

    xshron avatar
    xshron8 июля в 10:03
    3

    @s1oKe, те смотрит тик-ток, в ютубе будут искать такой же по смыслу контент…потому без разницы)) Ранее тут многие возмущались, что нельзя людей ограничивать в их выборе приложений, дескать это их личное дело, а тут какая-то цензура вырисовывается.

    Andrey-lights avatar
    Andrey-lights7 июля в 19:41
    0

    @s1oKe, а может мы сами решим чем пользоваться а чем нем без ваших собачьих советов?))

    s1oKe avatar
    s1oKe7 июля в 20:34
    9

    @Andrey-lights, если вы смотрите это г…о, то сами вы уже мало что решите, от этого у вас мозги 🧠 заплывают….и туговато соображают.

    Andrey-lights avatar
    Andrey-lights8 июля в 11:39
    0

    @s1oKe, не собираюсь как ВЫ с пеной у рта чего то доказывать. Если у тебя ТТ ассоциируется только со школотой и биомусором – это твои проблемы. Ленту там можно настроить по своим интересам.

  2. sissa avatar
    sissa7 июля в 16:21
    0

    За то ТикТок не банит комментарии как сейчас делают ВСЕ наши сайты!

  3. desired avatar
    desired7 июля в 16:31
    13

    Зачем вообще эта параша на телефоне нужна? Банальный и избитый вопрос конечно, но все же…

  4. Hambley avatar
    Hambley7 июля в 16:47
    8

    Из-за одного конченного названия уже не хочется устанавливать это говно

  5. ProtcessusVitelius avatar
    ProtcessusVitelius7 июля в 16:50
    14

    для разного рода куропаток вроде Насти Ивлевой еще одна площадка монетизации разжижения мозга у населения

  6. bt19 avatar
    bt197 июля в 16:52
    13

    Приложение для имбицилов, всегда его терпеть не мог.

    А с китаем всегда нужно быть бдительным, нация хитрая и очень опасная!

    hC7 июля в 17:31
    1

    @bt19, имбЕцилов. А так да, согласен :)

  7. Dmitriy K avatar
    Dmitriy K7 июля в 17:00
    0

    Я думал только у меня оно не установлено!

  8. Pozharnik7 июля в 17:01
    3

    Решение в этой ситуации только одно: не стоит устанавливать это недоразумение

  9. Илон Маск avatar
    Илон Маск7 июля в 17:06
    11

    Молодцы китайцы – не разочаровали.

    Продолжайте в том же духе и обосновывать почему ваши технологические компании должны пойти нахер с европейского и американского рынков станет станет гораздо легче.

  10. Geek avatar
    Geek7 июля в 17:18
    4

    Приложение для дегенератов и школьников (в принципе, одно и то же).
    Ни за что бы не установил это г##но, когда есть Реддит.

  11. enotov avatar
    enotov7 июля в 17:53
    0

    Создал фейк в инсте, так приложение откуда то вытянуло мой номер телефона и просит его указать в профиле. Кто дал такое право?

    Roman_S. avatar
    Roman_S.8 июля в 0:12
    0

    @enotov, сейчас многие сайты, по продажам и услугам, когда заходишь на них с телефона, перезванивают и спрашивают, мол интересовались такой-то темой недавно. Нагуглил, сейчас есть подобные алгоритмы, разработчики предлагают эту фишку установить вам на сайт за пару десятков тысяч. Ставят скрипт, или что там, и ты видишь номер телефона того, кто заходил на сайт. Короче чем дальше тем «веселее». Я над ними, кто звонит, минут 20 прикалываюсь, и шлю на хер. Но ситуация неприятная.

  12. Phonerz avatar
    Phonerz7 июля в 19:06
    1

    Вот только ничего нового. Достаточно посмотреть на ситуацию с Huawei. Вообще какой уровень наивности может быть, что бы последние 20 лет было игнорировать коммунистическую угрозу и только сейчас обратить внимание.

  13. Craft avatar
    Craft7 июля в 20:11
    0

    Ни одно комментария формата “а мне нечего скрывать, пусть собирают”. Прямо странно. :)

    Roman_S. avatar
    Roman_S.8 июля в 0:14
    1

    @Craft, Так не российский сервис данные собирает в этой статье. Кремлеботам не заплатят за комменты. Вот и молчат.

  14. i.v.kuznetsov avatar
    i.v.kuznetsov8 июля в 9:29
    1

    Как разработчик приложений для iOS скажу, что все что перечислено сливает любое приложение с подключенной аналитикой, даже непонятно что все так удивляются)) стоит подключить Firebase и вот они все данные. До смс и звонков, вашего мак адреса доступа на iOS нет. Контакты и геолокацию сливает любая соц сеть или месенджер. Если приложение слушает микрофон у вас на экране появится иконка, у разработчика нет возможности это сделать незаметно. А наличие в коде возможности распаковать зип архив вообще непонятно чем и кому опасно. На http почти все сервисы работали еще несколько лет назад. И какая разница на сколько серверов эти данные уходит))

  15. Warlocktv avatar
    Warlocktv8 июля в 10:30
    0

    А в чем собственно проблема? Пользователи используют Facebook, Instagram, Tiktok, VK и другие приложения для того что бы слить информацию о самих себе, даже принуждать не нужно. И в принципе анонимов в сети не существует. Переживаете о слежке? Выбросите телефон, отключитесь от интернета и бегите в лес питаясь своими заготовками.

  16. Йода avatar
    Йода9 июля в 2:03
    0

    Кто-то придумает хотя бы один рабочий кейс использования собранных тик-ток данных? Или мы просто боимся “как бы чего не вышло”?
    Я не использую ТТ, но у меня и ФБ, и ВК, и прочие собиратели информации. И что-то я не парюсь, что моими данными кто-то будет обладать. Спецслужбы и так все знают, а прочие могут и без приложений узнать у тех же спецслужб :)

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь