Oprindeligt udgivet i TikToks nyhedsrum.
Vi byder en legitim gennemgang af vores platform velkommen og ved, at hvis vi skal være på forkant med den næste generation af cybertrusler, kræver det, at vi hele tiden styrker sikkerheden på vores platform og samarbejder med branchens førende eksperter om at teste vores forsvar. Derfor samarbejder vi med førende virksomheder i branchen som HackerOne, og det er også derfor, vi åbner dørene til vores globale transparens- og ansvarlighedscentre, så folk kan lære om kildekoden, og hvordan vores applikations algoritme fungerer.
Den 13. februar offentliggjorde Malcore-teamet hos Internet 2.0, der beskriver sig selv som en amerikansk og australsk virksomhed inden for cybersikkerhed, en brancheanalyse, der i bedste fald er vildledende og i værste fald en alvorligt fejlbehæftet og forudindtaget analyse. Ifølge rapporten er Malcore et automatiseret analyseværktøj, der er udviklet til at scanne filer og programmer, opdage malware og vurdere risici. Men Malcore-teamet har selv indrømmet, at de brugte værktøjet til at udføre en ufuldstændig analyse, der ikke omfattede en detaljeret gennemgang af kildekoden. Deres resultater indeholdt en række fejl, som bør rejse mistanke om gyldigheden af deres resultater.
Som reaktion fik vi vores egne forskere til at foretage en teknisk analyse af Malcores resultater, og nedenfor er, hvad vi kom frem til.
Et SDK er et sæt værktøjer, der hjælper softwareudviklere med at skabe applikationer til en bestemt platform. Vi har en procedure til at vurdere den overordnede sikkerhedsrisiko ved ethvert SDK, der er integreret med TikTok. I tre tilfælde identificerede Malcore-teamet fejlagtigt SDK-integrationer. TikTok bruger ikke Pangle, Google CrashLytics eller Facebook Analytics SDK'er. Vi bruger resten af de SDK'er, der er nævnt i Malcore-analysen, på følgende måder:
Malcore-teamet har ikke givet nogen forklaring på det scoringssystem, der gav TikTok den højeste (værste) score på 63,1, sammenlignet med branchestandarden på 34 for alle andre store sociale medie-apps og en gennemsnitlig score på 28,8 for alle 21 apps.
Rapporten viser vilkårligt de tildelte scoringer for fem faktorer: tracker/SDK'er, farlig tilladelse, advarsel om høj alvorlighed for resultater af kodeanalyse, mistænkelig tilladelse og advarsel om alvorlighed for resultater af kodeanalyse. Der er ingen forklaring på, hvorfor eller hvordan disse fem faktorer blev valgt.
Derudover er der ingen forklaring eller ekstern begrundelse for, hvorfor hver faktor er tildelt den score, den er blevet tildelt, med tracker/SDK'er, der har fået den højeste score på 2,5 sammenlignet med den anden faktor på 0,25 (10 gange mindre) eller den femte faktor (50 gange mindre). Hvis man ændrer, hvordan en enkelt kategori bedømmes, vil det radikalt ændre risikoscoren for TikTok og de andre apps.
Især anerkender rapporten selv, at "trackere normalt er et legitimt softwareudviklingskit (SDK) beregnet til at hjælpe udviklere med at forstå, hvordan deres apps bliver brugt, løse potentielle problemer og forbedre deres software." Den skæve vurdering af SDK'er tager f.eks. ikke højde for, at nogle virksomheder bruger et master-SDK, hvilket ville gøre antallet af SDK'er til en endnu mindre meningsfuld faktor i risikovurderingen. Kort sagt giver Malcores pointsystem simpelthen ikke mening.
Hos TikTok er privatliv og sikkerhed for de personer, der bruger vores platform, blandt vores højeste prioriteter. Vi tager ansvaret for at beskytte personers privatliv og sikkerhed alvorligt og afsætter betydelige ressourcer til dette formål. Vi planlægger at fortsætte med at give opdateringer om vores praksis i vores nyhedsrum, hjælpecenter og vores privatlivspolitikker.