Oprindeligt udgivet i TikToks nyhedsrum.

Vi byder en legitim gennemgang af vores platform velkommen og ved, at hvis vi skal være på forkant med den næste generation af cybertrusler, kræver det, at vi hele tiden styrker sikkerheden på vores platform og samarbejder med branchens førende eksperter om at teste vores forsvar. Derfor samarbejder vi med førende virksomheder i branchen som HackerOne, og det er også derfor, vi åbner dørene til vores globale transparens- og ansvarlighedscentre, så folk kan lære om kildekoden, og hvordan vores applikations algoritme fungerer.

Den 13. februar offentliggjorde Malcore-teamet hos Internet 2.0, der beskriver sig selv som en amerikansk og australsk virksomhed inden for cybersikkerhed, en brancheanalyse, der i bedste fald er vildledende og i værste fald en alvorligt fejlbehæftet og forudindtaget analyse. Ifølge rapporten er Malcore et automatiseret analyseværktøj, der er udviklet til at scanne filer og programmer, opdage malware og vurdere risici. Men Malcore-teamet har selv indrømmet, at de brugte værktøjet til at udføre en ufuldstændig analyse, der ikke omfattede en detaljeret gennemgang af kildekoden. Deres resultater indeholdt en række fejl, som bør rejse mistanke om gyldigheden af deres resultater.

Som reaktion fik vi vores egne forskere til at foretage en teknisk analyse af Malcores resultater, og nedenfor er, hvad vi kom frem til.

Vores praksis for dataindsamling

• TikTok indsamler ikke IMEI for brugerenheder, SIM-serienumre eller identifikationsnumre for integrerede kredsløbskort. Den nuværende version af TikTok-appen anvender ikke MAC-adresser. Vi opfordrer brugerne til at downloade den nyeste version af appen, som indeholder vigtige sikkerhedsopdateringer.
• TikTok indsamler ikke alle konti på en enhed.
• I visse områder som USA, Australien og Sydkorea indsamler de nuværende versioner af TikTok-appen ikke præcise eller omtrentlige GPS-oplysninger fra brugerne. I andre områder, hvor en bruger kan give, og giver, TikTok tilladelse til at indsamle GPS-placeringsoplysninger, indsamler TikTok placeringsoplysninger baseret på brugerens enheds GPS-data.
• I visse tilfælde, hvor amerikanske brugere bruger en ældre version af TikTok-appen, der tillod indsamling af præcise eller omtrentlige GPS-oplysninger (sidste udgivelse i august 2020), og gav TikTok tilladelse til at gøre det, kan vi indsamle sådanne oplysninger. Personer kan altid forhindre deres enhed i at dele sådanne oplysninger med TikTok eller til enhver tid tilbagekalde tidligere givet tilladelse via deres enhedsindstillinger.
• Vi bruger placeringsoplysninger til at forbedre app-oplevelsen og af grunde, der er beskrevet i vores privatlivspolitik, såsom at vise brugere videoer og indhold, der er populært i deres område, og hvor det er aktuelt, mere relevante annoncer.
• Derudover kan folk vælge at give platformen adgang til fotos og kontaktlister samt enhedens mikrofon og kamera. Vi beskriver de oplysninger, vi indsamler, i vores privatlivspolitik og i vores hjælpecenter.

Softwareudviklingssæt (SDK)

Et SDK er et sæt værktøjer, der hjælper softwareudviklere med at skabe applikationer til en bestemt platform. Vi har en procedure til at vurdere den overordnede sikkerhedsrisiko ved ethvert SDK, der er integreret med TikTok. I tre tilfælde identificerede Malcore-teamet fejlagtigt SDK-integrationer. TikTok bruger ikke Pangle, Google CrashLytics eller Facebook Analytics SDK'er. Vi bruger resten af de SDK'er, der er nævnt i Malcore-analysen, på følgende måder:

• Facebook Login SDK og VKontakte SDK (kun tilgængelig i 8 lande) anvendes til at give brugerne mulighed for at logge ind med deres Facebook- eller VK-oplysninger. Facebook Share giver brugerne mulighed for at dele indhold fra TikTok på Facebook.
• Facebook Bolts er et open source SDK, der hjælper udviklere med at udvikle mobilapps. Appsflyer og Google Firebase Analytics er måle- og dataanalyseværktøjer.

Scoring og vurdering

Malcore-teamet har ikke givet nogen forklaring på det scoringssystem, der gav TikTok den højeste (værste) score på 63,1, sammenlignet med branchestandarden på 34 for alle andre store sociale medie-apps og en gennemsnitlig score på 28,8 for alle 21 apps.

Rapporten viser vilkårligt de tildelte scoringer for fem faktorer: tracker/SDK'er, farlig tilladelse, advarsel om høj alvorlighed for resultater af kodeanalyse, mistænkelig tilladelse og advarsel om alvorlighed for resultater af kodeanalyse. Der er ingen forklaring på, hvorfor eller hvordan disse fem faktorer blev valgt.

Derudover er der ingen forklaring eller ekstern begrundelse for, hvorfor hver faktor er tildelt den score, den er blevet tildelt, med tracker/SDK'er, der har fået den højeste score på 2,5 sammenlignet med den anden faktor på 0,25 (10 gange mindre) eller den femte faktor (50 gange mindre). Hvis man ændrer, hvordan en enkelt kategori bedømmes, vil det radikalt ændre risikoscoren for TikTok og de andre apps.

Især anerkender rapporten selv, at "trackere normalt er et legitimt softwareudviklingskit (SDK) beregnet til at hjælpe udviklere med at forstå, hvordan deres apps bliver brugt, løse potentielle problemer og forbedre deres software." Den skæve vurdering af SDK'er tager f.eks. ikke højde for, at nogle virksomheder bruger et master-SDK, hvilket ville gøre antallet af SDK'er til en endnu mindre meningsfuld faktor i risikovurderingen. Kort sagt giver Malcores pointsystem simpelthen ikke mening.

Hos TikTok er privatliv og sikkerhed for de personer, der bruger vores platform, blandt vores højeste prioriteter. Vi tager ansvaret for at beskytte personers privatliv og sikkerhed alvorligt og afsætter betydelige ressourcer til dette formål. Vi planlægger at fortsætte med at give opdateringer om vores praksis i vores nyhedsrum, hjælpecenter og vores privatlivspolitikker.