Ursprünglich in der TikTok Nachrichtenabteilung veröffentlicht.

Wir begrüßen die legitime Überprüfung unserer Plattform und wissen, dass wir der nächsten Generation von Cyberbedrohungen nur dann einen Schritt voraus sein können, wenn wir die Sicherheit unserer Plattform kontinuierlich stärken und mit branchenführenden Expert*innen zusammenarbeiten, um unsere Schutzmaßnahmen zu testen. Aus diesem Grund arbeiten wir mit Branchenführer*innen wie HackerOne zusammen und öffnen zudem die Türen unserer globalen Transparenz- und Accountability-Zentren für alle Personen, die mehr über den Quellcode sowie darüber erfahren möchten, wie der Algorithmus unserer App funktioniert.

Am 13. Februar veröffentlichte das Malcore-Team bei Internet 2.0, das sich selbst als ein US-amerikanisches und australisches Cybersecurity-Unternehmen und Joint-Venture beschreibt, eine Branchenanalyse, die bestenfalls irreführend und schlimmstenfalls eine stark fehlerhafte und voreingenommene Analyse ist. Laut dem Bericht ist Malcore ein automatisiertes Analysetool, das Dateien und Programme scannt, Malware erkennt und Risiken bewertet. Nach eigenen Angaben hat das Malcore-Team das Tool jedoch nur für eine unschlüssige Analyse verwendet, die keine detaillierte Überprüfung des Quellcodes umfasste. Die Ergebnisse des Teams enthielten eine Reihe von Ungenauigkeiten, die Zweifel an der Gültigkeit der Ergebnisse aufkommen lassen sollten.

Als Reaktion auf den Bericht haben wir unsere eigenen Forscher*innen eine technische Analyse der Ergebnisse des Malcore-Teams durchführen lassen und sind zu dem folgenden Ergebnis gekommen.

Unsere Datenerhebungspraktiken

• TikTok erfasst weder die IMEI des Geräts noch die Seriennummer der SIM-Karte noch die Identifikationsnummer der integrierten Schaltkarte. Die aktuelle Version der TikTok-App verwendet keine MAC-Adressen. Wir empfehlen Nutzer*innen, die neueste Version der App herunterzuladen, die wichtige Sicherheitsupdates enthält.
• TikTok erfasst nicht alle Konten auf einem Gerät.
• In bestimmten Regionen wie den USA, Australien und Südkorea werden von den aktuellen Versionen der TikTok-App keine präzisen oder ungefähren GPS-Daten von Nutzer*innen erfasst. In anderen Regionen, in denen ein*e Nutzer*in TikTok die Erlaubnis zum Erfassen von GPS-Standortdaten erteilen kann und dies auch tut, erfasst TikTok Daten basierend auf den GPS-Daten vom Gerät des*der Nutzers*Nutzerin.
• In einigen Fällen, in denen Nutzer*innen in den USA eine ältere Version der TikTok-App verwenden, die die Erfassung präziser oder ungefährer GPS-Daten ermöglichte (letztes Release im August 2020) und die TikTok hierfür die Erlaubnis gaben, können wir solche Daten erfassen. Personen können jederzeit über ihre Geräteeinstellungen verhindern, dass ihr Gerät solche Daten mit TikTok teilt, und sie können auch jederzeit über ihre Geräteeinstellungen eine zuvor erteile Erlaubnis widerrufen.
• Wir verwenden Standortdaten, um das App-Erlebnis zu verbessern, sowie aus den in unserer Datenschutzerklärung genannten Gründen, beispielsweise, um Nutzer*innen Videos und Inhalte zu zeigen, die in ihrer Gegend beliebt sind, und ggf. relevantere Anzeigen.
• Personen können der Plattform zusätzlich den Zugriff auf Fotos, Kontaktlisten sowie auf das Mikrofon und die Kamera des Geräts erlauben. In unseren Datenschutzerklärungen und in unserem Hilfe-Center ist ausführlich beschrieben, welche Daten wir erfassen.

Software Development Kits (SDK)

Ein SDK ist ein Satz von Tools, mit denen Softwareentwickler Anwendungen für eine spezifische Plattform erstellen können. Wir haben einen Prozess, um das gesamte Sicherheitsrisiko jedes SDKs, das in TikTok integriert ist, zu bewerten. In drei Fällen hat das Malcore-Team SDK-Integrationen falsch identifiziert. TikTok verwendet weder Pangle- noch Google CrashLytics- noch Facebook Analytics-SDKs. Die übrigen SDKs, die in der Malcore-Analyse genannt werden, verwenden wir auf folgende Weise:

• Das Facebook Login-SDK und das VKontakte-SDK (nur in 8 Ländern verfügbar) werden verwendet, damit Nutzer*innen sich mit ihren Facebook- oder VK-Anmeldedaten anmelden können. Facebook Share ermöglicht es Nutzer*innen, Inhalte von TikTok auf Facebook zu teilen.
• Facebook Bolts ist ein Open-Source-SDK, mit dem Ingenieure mobile Apps entwickeln können. Appsflyer und Google Firebase Analytics sind Mess- und Datenanalysetools.

Bewertung und Gewichtung

Das Malcore-Team hat keine Erklärung für das Bewertungssystem gegeben, nach dem TikTok die höchste (schlechteste) Bewertung mit 63,1 erhielt. Im Vergleich dazu lag der Industriestandard bei 34 für alle anderen großen Social-Media-Apps und die durchschnittliche Bewertung für alle 21 Apps bei 28,8.

Im Bericht sind die zugewiesenen Gewichtungen willkürlich für fünf Faktoren aufgelistet: Tracker/SDKs, gefährliche Berechtigung, Warnung mit hohem Schweregrad für Codeanalyseergebnisse, verdächtige Berechtigung und Warnung mit Schweregrad für Codeanalyseergebnisse. Es wird nicht erklärt, warum oder wie diese fünf Faktoren ausgewählt wurden.

Außerdem gibt es keine Erklärung oder externe Rechtfertigung dafür, warum jeder Faktor die ihm zugewiesene Bewertung erhält. Tracker/SDKs bekommt beispielsweise die höchste Bewertung von 2,5 im Vergleich zum zweiten Faktor mit 0,25 (10 Mal weniger) oder fünften Faktor (50 Mal weniger). Eine Änderung der Bewertung einer einzelnen Kategorie würde die Risikobewertung für TikTok und für die anderen Apps radikal verändern.

Der Bericht selbst erkennt an, dass „Tracker normalerweise ein legitimes Software Development Kit (SDK) sind, das Entwickler*innen hilft zu verstehen, wie ihre Apps verwendet werden, wie potenzielle Probleme gelöst werden können und wie die Software optimiert werden kann“. Die schiefe Gewichtung von SDKs berücksichtigt beispielsweise nicht, dass einige Unternehmen ein Master-SDK verwenden, wodurch die Anzahl der SDKs ein noch weniger aussagekräftiger Faktor für die Risikobewertung wäre. Kurz gesagt: Das Bewertungssystem von Malcore ergibt einfach keinen Sinn.

Bei TikTok gehören die Privatsphäre und die Sicherheit der Personen, die unsere Plattform nutzen, zu unseren höchsten Prioritäten. Wir nehmen unsere Verantwortung für den Schutz der Privatsphäre und die Sicherheit von Personen ernst und setzen erhebliche Ressourcen ein, um dieses Ziel zu erreichen. Wir planen, auch weiterhin in unserer Nachrichtenabteilung, in unserem Hilfe-Center und in unseren Datenschutzerklärungen über unsere Praktiken zu informieren.