Ursprünglich in der TikTok Nachrichtenabteilung veröffentlicht.
Wir begrüßen die legitime Überprüfung unserer Plattform und wissen, dass wir der nächsten Generation von Cyberbedrohungen nur dann einen Schritt voraus sein können, wenn wir die Sicherheit unserer Plattform kontinuierlich stärken und mit branchenführenden Expert*innen zusammenarbeiten, um unsere Schutzmaßnahmen zu testen. Aus diesem Grund arbeiten wir mit Branchenführer*innen wie HackerOne zusammen und öffnen zudem die Türen unserer globalen Transparenz- und Accountability-Zentren für alle Personen, die mehr über den Quellcode sowie darüber erfahren möchten, wie der Algorithmus unserer App funktioniert.
Am 13. Februar veröffentlichte das Malcore-Team bei Internet 2.0, das sich selbst als ein US-amerikanisches und australisches Cybersecurity-Unternehmen und Joint-Venture beschreibt, eine Branchenanalyse, die bestenfalls irreführend und schlimmstenfalls eine stark fehlerhafte und voreingenommene Analyse ist. Laut dem Bericht ist Malcore ein automatisiertes Analysetool, das Dateien und Programme scannt, Malware erkennt und Risiken bewertet. Nach eigenen Angaben hat das Malcore-Team das Tool jedoch nur für eine unschlüssige Analyse verwendet, die keine detaillierte Überprüfung des Quellcodes umfasste. Die Ergebnisse des Teams enthielten eine Reihe von Ungenauigkeiten, die Zweifel an der Gültigkeit der Ergebnisse aufkommen lassen sollten.
Als Reaktion auf den Bericht haben wir unsere eigenen Forscher*innen eine technische Analyse der Ergebnisse des Malcore-Teams durchführen lassen und sind zu dem folgenden Ergebnis gekommen.
Ein SDK ist ein Satz von Tools, mit denen Softwareentwickler Anwendungen für eine spezifische Plattform erstellen können. Wir haben einen Prozess, um das gesamte Sicherheitsrisiko jedes SDKs, das in TikTok integriert ist, zu bewerten. In drei Fällen hat das Malcore-Team SDK-Integrationen falsch identifiziert. TikTok verwendet weder Pangle- noch Google CrashLytics- noch Facebook Analytics-SDKs. Die übrigen SDKs, die in der Malcore-Analyse genannt werden, verwenden wir auf folgende Weise:
Das Malcore-Team hat keine Erklärung für das Bewertungssystem gegeben, nach dem TikTok die höchste (schlechteste) Bewertung mit 63,1 erhielt. Im Vergleich dazu lag der Industriestandard bei 34 für alle anderen großen Social-Media-Apps und die durchschnittliche Bewertung für alle 21 Apps bei 28,8.
Im Bericht sind die zugewiesenen Gewichtungen willkürlich für fünf Faktoren aufgelistet: Tracker/SDKs, gefährliche Berechtigung, Warnung mit hohem Schweregrad für Codeanalyseergebnisse, verdächtige Berechtigung und Warnung mit Schweregrad für Codeanalyseergebnisse. Es wird nicht erklärt, warum oder wie diese fünf Faktoren ausgewählt wurden.
Außerdem gibt es keine Erklärung oder externe Rechtfertigung dafür, warum jeder Faktor die ihm zugewiesene Bewertung erhält. Tracker/SDKs bekommt beispielsweise die höchste Bewertung von 2,5 im Vergleich zum zweiten Faktor mit 0,25 (10 Mal weniger) oder fünften Faktor (50 Mal weniger). Eine Änderung der Bewertung einer einzelnen Kategorie würde die Risikobewertung für TikTok und für die anderen Apps radikal verändern.
Der Bericht selbst erkennt an, dass „Tracker normalerweise ein legitimes Software Development Kit (SDK) sind, das Entwickler*innen hilft zu verstehen, wie ihre Apps verwendet werden, wie potenzielle Probleme gelöst werden können und wie die Software optimiert werden kann“. Die schiefe Gewichtung von SDKs berücksichtigt beispielsweise nicht, dass einige Unternehmen ein Master-SDK verwenden, wodurch die Anzahl der SDKs ein noch weniger aussagekräftiger Faktor für die Risikobewertung wäre. Kurz gesagt: Das Bewertungssystem von Malcore ergibt einfach keinen Sinn.
Bei TikTok gehören die Privatsphäre und die Sicherheit der Personen, die unsere Plattform nutzen, zu unseren höchsten Prioritäten. Wir nehmen unsere Verantwortung für den Schutz der Privatsphäre und die Sicherheit von Personen ernst und setzen erhebliche Ressourcen ein, um dieses Ziel zu erreichen. Wir planen, auch weiterhin in unserer Nachrichtenabteilung, in unserem Hilfe-Center und in unseren Datenschutzerklärungen über unsere Praktiken zu informieren.