Скандал с TikTok: как приложение получает доступ к ВТС-адресам и не только

Устанавливая мобильные приложения на смартфон, мало кто осознает, что подвергает себя риску кражи конфиденциальной информации, тем не менее такая возможность, на самом деле, существует. В махинациях с перехватом личных данных были замечены десятки мобильных приложений: программы для игр, развлечений, общения, просмотра новостей и так далее. В их числе и известное приложение TikTok, которое в последнее время все чаще обвиняют в массовой слежке за пользователями. Согласно сразу нескольким исследованиям программистов, TikTok собирает шокирующее количество информации — во много раз больше, чем Instagram, Facebook или Twitter. Кто именно и почему обвиняет приложение в шпионаже и что говорят в ответ его создатели?

 

 

Зимой против TikTok был подан групповой иск

 

Первые обвинения в шпионаже появились еще в декабре прошлого года, когда на сервис TikTok и пекинскую компанию ByteDance, которой он принадлежит, был подан групповой иск в федеральный окружной суд США штата Калифорния. Иск обвиняет приложение в тайном сборе личных данных пользователей и их последующей передаче на удаленные сервера, базирующиеся в Китае.

 

В документе сообщается, что политика конфиденциальности приложения весьма «неоднозначна», что допускает идентификацию и отслеживание пользователей на территории Соединенных Штатов. Тем самым компания может извлекать выгоду из предполагаемой деятельности такого рода, поскольку эти данные могут применяться для показа целевой рекламы. Также утверждается, что TikTok может собирать биометрические данные о своих пользователях посредством обработки видеороликов, где лица людей очень часто показываются крупным планом. Когда пользователь снимает видео и нажимает кнопку «Далее», видео переносятся на разные домены без его ведома. Причем это происходит даже прежде, чем юзер сохранит или разместит видео в своем аккаунте.

 

«Беззаботное веселье с TikTok дается высокой ценой», — отмечают инициаторы иска.

 

Весной TikTok заинтересовал программистов

 

В конце марта программисты Талал Хай Бакри и Томми Миск провели исследование и выявили, что более 50 приложений для смартфонов, в числе которых и TikTok, скрытым образом собирают данные пользователей. По их словам, эти данные могут содержать биткоин-адреса, ссылки для восстановления пароля, фрагменты личной переписки и другую конфиденциальную информацию, попадающую в буфер обмена.

 

Видео о проделанной работе исследователи выложили на своем канале в YouTube. В нем подчеркивается, что приложения постоянно обращаются к буферу обмена, хотя для обеспечения их функционирования это совершенно не требуется. Возникает резонный вопрос — тогда для чего? Даже если предположить, что это всего лишь обычное упущение разработчиков и ничего злонамеренного они не замышляют, сама ситуация все же предполагает определенный дискомфорт — почему при каждом копировании/вводе данных нужно опасаться, что их могут украсть и впоследствии скомпрометировать? Ведь нет никаких гарантий, что это не случится.

 

Параллельно собственное расследование провел и другой инженер-программист. Результаты он выложил в своем аккаунте на Reddit под ником bangorlol. Сейчас изначальный пост уже отредактирован.

 

В частности, bangorlol сообщил, что сервис завладевает как личной информацией пользователей, так и данными их устройств — спектр невероятно широк. Также он разузнал, что в течение долгого времени приложение не использовало защищенное соединение https, в связи с чем имейлы пользователей, их имена и даты рождения были доступны для просмотра.

 

Кроме того, программист отметил, что проанализировал Instagram, Facebook и Twitter и выявил, что все они вместе взятые собирают гораздо меньше сведений, чем TikTok. Подытожив результаты, bangorlol призвал людей удалить вредоносное приложение со своих телефонов.

 

TikTok способен на универсальную слежку

 

Очень часто шпионаж выходит за рамки отдельно взятого устройства. Таким образом, если два или более устройств Apple используют один и тот же Apple ID и при этом находятся в пределах трех метров друг от друга — они используют общий буфер обмена, то есть контент можно копировать с одного девайса на другой. Следовательно, все связанные устройства рискуют стать жертвой программы-перехватчика, которая установлена хотя бы на одном из них. Об этом Томми Миск также записал видео. Он подчеркнул крайнюю опасность ситуации и призвал людей быть предельно осторожными.

 

Тогда же, в марте, как сообщает The Telegraph, представитель TikTok пообещал устранить проблему в течение нескольких ближайших недель. Но, как недавно выяснилось, своих обещаний не сдержал.

 

Версия iOS 14 вывела шпионов на чистую воду

 

На днях вышла обновленная версия мобильной операционной системы iOS, которая пока доступна только в режиме бета-тестирования. Добавленная в нее функция предупреждает пользователя всякий раз, когда какое-либо из установленных на смартфон приложений собирается читать содержимое буфера обмена.

 

Начав использовать iOS 14, тестеры быстро поняли, как много приложений пытаются залезть в их личные данные и как часто они это делают. На этом коротеньком видео, которое всего за неделю с момента публикации набрало почти 130 000 просмотров, показано, каким образом осуществляется вывод уведомлений на экран.

 

Обновление позволило увидеть, что команда TikTok не сдержала своих мартовских обещаний. Как оказалось, информация из буфера обмена по-прежнему собирается, причем с невероятной скоростью. Об этом написал в своем твиттере один из обладателей бета-версии, приложив в доказательство видеоролик.

 

Более того, члены хакерской организации полагают, что TikTok оказывает помощь властям Китая не только собирать данные, но и проводить детальный анализ поведения пользователей платформы. Интересно, что 69% пользователей TikTok — подростки и молодые люди в возрасте от 13 до 24 лет.

 

По мнению одного из авторов Forbes, это ставит TikTok в довольно уникальное положение, так как против него в одном и том же деле объединились конфронтационные стороны: правительства разных стран, включая США, и хакерская группировка.

 

Реакция TikTok на сложившуюся ситуацию

 

После того как в соцсетях поднялась новая волна публикаций о TikTok, представители компании сделали заявление:

«После запуска тестовой версии iOS 14 пользователи увидели соответствующие оповещения при использовании некоторых популярных приложений. Что касается TikTok, это делалось с целью защититься от спама. Мы уже обновили приложение в App Store, убрав эту функцию во избежание возможных недоразумений. TikTok стоит на страже личных данных пользователей и прозрачности работы нашего приложения. Мы с нетерпением ждем возможности пригласить внешних экспертов в наш “Центр Прозрачности” в конце этого года».

 

На самом деле, в последнем обновлении блога Талал Хай Бакри и Томми Миск вычеркнули TikTok из списка программ, читающих буфер обмена. Но доверие к приложению уже подорвано, и нет гарантий, что его разработчики не пойдут на какие-то новые ухищрения.

 

В связи с этим Миск сообщил, что функция оповещений в iOS — удачное начало, но в конечном счете Apple и Google нужно сделать больше:

 Первое: подключить функцию разрешения доступа к буферу обмена только по запросу, как сейчас происходит процедура доступа к микрофону или камере устройства.

 

 Второе: обязать разработчиков предоставлять полную информацию о том, к каким данным будет обращаться приложение и с какой целью.

 

Чем же TikTok опаснее других приложений-перехватчиков

 

Разумеется, все приложения, тайно собирающие данные пользователей, потенциально несут одинаковую опасность. Но масштабы распространения этой опасности напрямую зависят от численности аудитории, использующей приложение. Именно по этой причине разоблачители и поставили TikTok на одно из первых мест — его популярность растет стремительными темпами.

 

Исходя из ежегодных отчетов Apple о наиболее часто загружаемых приложениях на iPhone, к концу 2018 года TikTok занимал 16 позицию в рейтинге, а спустя год поднялся на четвертую, уступая лидерство YouTube, Instagram и Snapchat. Но на этом рост его популярности вряд ли остановится. Как сообщает Bloomberg, лишь за первый квартал нынешнего года TikTok скачали 315 млн раз, что составляет практически половину от скачиваний за весь прошлый год. Так что результат налицо — в настоящее время у него свыше 800 млн пользователей. А теперь представьте, что вся эта огромная аудитория каждую секунду ставит под угрозу конфиденциальность своих личных данных. Проблема и в самом деле масштабная.

 

Никогда не теряйте бдительность

 

Напомним, что вопрос сохранности личных данных очень важен, в том числе и для криптодержателей. На данный момент пользователи смартфонов, планшетов и прочих девайсов должны понимать, что вся информация, хранящаяся в буфере обмена, может стать доступной любому из установленных приложений. А в случае с общим буфером обмена, как на устройствах Apple, утечка вероятна даже через близлежащие связанные девайсы.

 

При появлении хотя бы малейших подозрений в слежке не забывайте очищать буфера обмена после использования, например, копируйте вместо важной информации кусочек любого «левого» текста. Желательно делать это каждый раз в целях предосторожности. Одним словом, будьте всегда начеку — безопасность прежде всего!

bit44.org

Обязательно подпишитесь на наш Telegram канал

ПОДПИСЫВАЮСЬ
ПОТОМ