TikTok jest zagrożeniem

Tuesday, 30 Aug, 2022

Kod istnieje, ale go nie używa

TikTok rejestruje naciśnięcia klawiszy użytkowników w swojej przeglądarce w aplikacji na urządzeniach Apple, w tym hasła i numery kart kredytowych, według badacza, który pracował kiedyś dla Google i Twittera.
Twórca aplikacji i badacz prywatności Felix Krause opublikował raport dotyczący zagrożeń związanych z niektórymi aplikacjami na iOS wstrzykującymi kod JavaScript do przeglądarek innych firm.
Spośród siedmiu najpopularniejszych analizowanych aplikacji na iOS, pekińska TikTok była jedyną, która nie dawała użytkownikom opcji otwierania linków za pomocą przeglądarki innej firmy.
Krause stwierdził, że aplikacja TikTok na iOS "monitoruje wszystkie naciśnięcia ekranu dziejące się na stronach internetowych, w tym stuknięcia we wszystkie przyciski i linki", do których dostęp uzyskuje się za pośrednictwem swojej przeglądarki w aplikacji.
"TikTok iOS subskrybuje każde naciśnięcie klawisza (wprowadzenie tekstu), które dzieje się na stronach internetowych stron trzecich renderowanych wewnątrz aplikacji TikTok. Może to obejmować hasła, informacje o kartach kredytowych i inne wrażliwe dane użytkownika (keypress i keydown)" - napisał Krause.
"Nie możemy wiedzieć, do czego TikTok wykorzystuje subskrypcję, ale z perspektywy technicznej jest to odpowiednik zainstalowania keyloggera na stronach internetowych stron trzecich".
TikTok potwierdził, że kod istnieje w jego aplikacji na iOS, ale twierdził, że go nie używa.
"Podobnie jak inne platformy, używamy przeglądarki w aplikacji, aby zapewnić optymalne doświadczenie użytkownika, ale kod Javascript, o którym mowa, jest używany tylko do debugowania, rozwiązywania problemów i monitorowania wydajności tego doświadczenia - sprawdzania, jak szybko ładuje się strona lub czy się zawiesza", powiedział rzecznik TikTok Maureen Shanahan w oświadczeniu uzyskanym przez Krause.
Krause przeanalizował TikTok, Facebook, Instagram, Snapchat, Amazon, Robinhood i Messenger za pomocą stworzonego przez siebie narzędzia o nazwie InAppBrowser.com.
Według raportu, tylko Snapchat i Robinhood nie wstrzyknęły żadnego kodu JavaScript. Facebook, Instagram i Messenger wstrzyknęły jakiś kod, ale Krause powiedział, że "nie oznacza to, że aplikacja robi coś złośliwego".
"Tylko dlatego, że aplikacja wstrzykuje JavaScript do zewnętrznych stron internetowych, nie oznacza, że aplikacja robi coś złośliwego. Nie ma sposobu, abyśmy poznali pełne szczegóły dotyczące tego, jakie dane zbiera każda przeglądarka in-app, ani jak lub czy dane są przekazywane lub wykorzystywane" - napisał Krause.
Ryzyko
Krause powiedział, że ryzyko występuje, gdy użytkownicy otwierają linki podczas korzystania z aplikacji na iOS, takich jak TikTok, i wyświetlają renderowaną stronę internetową wewnątrz tej aplikacji, zamiast otwierać link za pomocą przeglądarki innej firmy, takiej jak Safari lub Chrome.
Niektóre kody JavaScript pozwalają aplikacjom wiedzieć, jak długo użytkownik odwiedzał połączoną stronę internetową, które linki otworzył, na co stuknął, dane o lokalizacji, jeśli są włączone, a nawet nagrywać użytkownika lub "parsować jego twarz" podczas przeglądania, zauważył Krause we wpisie na blogu z 2018 roku.
Dzieje się to "bez zgody użytkownika, ani dostawcy strony internetowej", powiedział.
Na przykład osoba, która używa aplikacji Safari na swoim iPhonie, może mieć zapisane informacje o loginie lub karcie kredytowej dla wygody. Ale jeśli odwiedzą stronę z TikTok's in-app browser, wszelkie informacje dotyczące logowania lub płatności będą musiały być wprowadzone na nowo. Te naciśnięcia klawiszy są monitorowane, według raportu.
"Powoduje to różne zagrożenia dla użytkownika, przy czym aplikacja gospodarza jest w stanie śledzić każdą interakcję z zewnętrznymi stronami internetowymi, od wszystkich wejść formularzy, takich jak hasła i adresy, do każdego pojedynczego stuknięcia" - napisał Krause.
Eksperci od dawna ostrzegali, że nie można ufać TikTokowi ze względu na powiązania firmy z Komunistyczną Partią Chin (CCP). To sprawiło, że firma znalazła się pod obserwacją.
Chińskie przepisy bezpieczeństwa zmuszają firmy do współpracy z agencjami wywiadowczymi, gdy są o to proszone. TikTok powiedział, że nie zastosuje się do żadnych żądań KPCh dotyczących danych użytkowników.
Casey Fleming, dyrektor generalny wywiadu i strategii bezpieczeństwa firmy BlackOps Partners, powiedział, że CCP jest zaangażowany w "nieograniczoną wojnę", ponieważ stara się wyprzeć Stany Zjednoczone, aby stać się jedynym supermocarstwem na świecie.
"Wszystkie technologie wychodzące z Chin - albo produkowane w Chinach, tworzone w Chinach - są kontrolowane przez CCP" - powiedział.
"TikTok jest uzbrojoną platformą szpiegowską kontrolowaną przez CCP w rękach większości waszych dzieci i młodych dorosłych. To jest to, co wojna wygląda jak dzisiaj - wojna hybrydowa. Powinna być natychmiast zakazana przez rząd USA".
Ogromna ilość danych, które TikTok zbiera o swoich użytkownikach, głównie młodych Amerykanach, czyni aplikację zagrożeniem, według innego eksperta, który powiedział, że aplikacja może być wykorzystana do szpiegowania Amerykanów.
"Jeśli chcesz szpiegować kraj, dlaczego wysyłać szpiega w starym stylu? Dlaczego nie wysłać po prostu świetnej aplikacji i sprawić, by stała się wirusowa?" powiedział Gary Miliefsky, ekspert ds. cyberbezpieczeństwa i wydawca Cyber Defense Magazine.

Caden Pearson
Caden Pearson jest reporterem w Australii. Skontaktuj się z nim na
caden.pearson@epochtimes.com.au.

TikTok stanowi zagrożenie     dla każdego amerykańskiego użytkownika
Wiele osób postrzega chińską aplikację TikTok jako platformę do dzielenia się śmiesznymi filmikami, ale stanowi ona zagrożenie dla bezpieczeństwa danych - uważa Brendan Carr, komisarz Federalnej Komisji Łączności (FCC).
"Oni po prostu postrzegają TikTok za to, czym wydaje się być na powierzchni, ale to tylko owcza skóra" - powiedział niedawno Carr w programie "China Insider" Epoch TV.
"Jeśli spojrzysz pod spodem, jest tam strasznie dużo danych, które są wyciągane z twojego urządzenia i najwyraźniej wysyłane z powrotem do Chin. Pod spodem wyciąga się dane biometryczne, w tym odciski twarzy i odciski głosu, wzory i rytmy naciskania klawiszy, historię wyszukiwania i przeglądania, informacje o lokalizacji."
Carr odniósł się do czerwcowego raportu BuzzFeeda opartego na wyciekłym audio z 80 wewnętrznych spotkań TikTok, które ujawniły, że inżynierowie w Chinach wielokrotnie uzyskiwali dostęp do danych z USA. Dane amerykańskich użytkowników płynące z powrotem do chińskiego reżimu są niepokojące, według komisarza.
"Kiedy dane trafiają do Chin, mają tam prawo bezpieczeństwa narodowego, które zmusza wszystkie tamtejsze podmioty do pomagania im w działalności szpiegowskiej" - powiedział.
TikTok wielokrotnie zaprzeczał, że chiński reżim może uzyskać dostęp do danych użytkowników.
Carr powiedział, że Chiny prowadzą najbardziej wyrafinowaną operację analityki danych na świecie, co oznacza, że "wszelkiego rodzaju niegodziwe zachowania" mogłyby mieć miejsce, gdyby komunistyczny kraj dostał w swoje ręce wrażliwe dane milionów użytkowników aplikacji.
 "Oni mają historię szpiegostwa biznesowego i przemysłowego, szantażu. I tak obawy są naprawdę, gdy bierzesz tyle danych na tak wielu międzynarodowych użytkowników ... to naprawdę gdzie zaczyna się wektor zagrożenia", powiedział.
Carr podniósł również obawy dotyczące treści przekazywanych na chińskiej aplikacji wideo.
"Inżynierowie w Pekinie pracują nad algorytmami bardzo aktywnie ... decydując o tym, co jest wyświetlane użytkownikom w USA i na całym świecie" - powiedział. "Niezależnie od tego, czy jest to zagraniczna kampania wpływu, czy inne treści, warto zauważyć, że Chiny nie zezwalają na Tik Tok wewnątrz Chin, a jednak pozwalają, aby tego typu kampanie wpływu odbywały się globalnie".
Przeciwdziałanie zagrożeniu
Biorąc pod uwagę, że chińska aplikacja stwarza ryzyko szpiegostwa, Carr wezwał do wspólnego wysiłku, aby przeciwdziałać temu zagrożeniu.
"Musimy tam iść na wszystkie fronty", powiedział, odnosząc się do niedawnego wniosku Sens. Marka Warnera (D-Va.) i Marco Rubio (R-Fla.) do Federalnej Komisji Handlu, wzywając ją do formalnego zbadania relacji między chińskim reżimem a ByteDance, właścicielem TikTok z siedzibą w Pekinie.
"Federalna Komisja Handlu powinna podjąć ten dwupartyjny apel o szybkie śledztwo. Nie możemy sobie pozwolić na trwający rok proces. I byłbym zachęcony i szczęśliwy, gdyby Kongres również wkroczył do akcji.
"Zaangażowaliśmy się w dość zgodny wysiłek, aby spojrzeć na podmioty związane z CCP. ... Myślę, że TikTok jest następnym, na którym powinniśmy się skupić."
TikTok nie odpowiedział na prośbę o komentarz.
Hannah Ng
Hannah Ng jest reporterką zajmującą się informacjami z USA i Chin. Posiada tytuł magistra ekonomii międzynarodowej i rozwojowej, który uzyskała na Uniwersytecie Nauk Stosowanych w Berlinie.
David Zhang
David Zhang jest gospodarzem programu China Insider w EpochTV. Obecnie przebywa w Nowym Jorku i Waszyngtonie i zajmuje się informacjami związanymi z Chinami. Skupia się na wywiadach z ekspertami i komentarzach do spraw chińskich, zwłaszcza kwestii dotyczących relacji USA-Chiny.

foto