Julkaistu alun perin TikTok-uutishuoneessa.
Toivotamme tervetulleeksi alustamme asiaanperustuvan arvioinnin ja tiedämme, että seuraavan sukupolven kyberuhkien edellä pysyminen edellyttää, että vahvistamme jatkuvasti alustamme turvallisuutta ja teemme yhteistyötä alan johtavien asiantuntijoiden kanssa puolustuksemme testaamiseksi. Siksi teemme yhteistyötä alan johtajien, kuten HackerOnen, kanssa, ja siksi avaamme myös maailmanlaajuisten Avoimuus- ja vastuullisuuskeskustemme ovet, jotta ihmiset voivat oppia lähdekoodista ja sovelluksemme algoritmin toiminnasta.
Yhdysvaltain ja Australian yhteiseksi kyberturvallisuusyritykseksi itseään kuvailevan Internet 2.0:n Malcore-tiimi julkaisi 13. helmikuuta toimiala-analyysin, joka on parhaimmillaan harhaanjohtava ja pahimmillaan vakavasti puutteellinen ja puolueellinen analyysi. Raportin mukaan Malcore on automaattinen analyysityökalu, joka on suunniteltu skannaamaan tiedostoja ja ohjelmia, havaitsemaan haittaohjelmia ja arvioimaan riskejä. Kuitenkin oman tunnustuksensa mukaan Malcore-tiimi käytti työkalua suorittaakseen epävarman analyysin, joka ei sisältänyt yksityiskohtaista lähdekoodin tarkastusta. Heidän tuloksiinsa sisältyi useita epätarkkuuksia, joiden pitäisi kyseenalaistaa heidän havaintojensa paikkansapitävyys.
Vastauksena pyysimme omia tutkijoitamme suorittamaan teknisen analyysin Malcoren havainnoista, ja jäljempänä on, mitä löysimme.
SDK on joukko työkaluja, joiden avulla ohjelmistokehittäjät voivat luoda sovelluksia tietylle alustalle. Meillä on prosessi TikTokiin integroidun SDK:n yleisen turvallisuusriskin arvioimiseksi. Kolmessa tapauksessa Malcore-tiimi tunnisti SDK-integraatiot väärin. TikTok ei käytä Pangle-, Google CrashLytics- tai Facebook Analytics -ohjelmistokehityspaketteja. Käytämme muita Malcoren analyysissä mainittuja ohjelmistokehityspaketteja seuraavilla tavoilla:
Malcoren tiimi ei ole tarjonnut mitään selitystä pisteytysjärjestelmälle, joka antoi TikTokille korkeimman (huonoimman) pistemäärän 63,1 pistettä, verrattuna kaikkien muiden suurten sosiaalisen median sovellusten alan standardiin, joka oli 34 pistettä, ja jossa kaikkien 21 sovelluksen keskiarvo oli 28,8 pistettä.
Raportissa luetellaan mielivaltaisesti määritetyt pisteiden painotukset viidelle tekijälle: seurantatiedostot/SDK:t, vaarallinen lupa, korkean vakavuuden varoitus koodianalyysituloksille, epäilyttävä lupa ja vakavuusvaroitus koodianalyysituloksille. Sille, miksi tai miten nämä viisi tekijää valittiin, ei ole selitystä.
Lisäksi ei ole mitään selitystä tai ulkoista perustelua sille, miksi kullekin tekijälle on määritetty sille annettu pistemäärä, ja seurantatiedostot/SDK:t saavat korkeimman pistemäärän 2,5 verrattuna toiseen tekijään 0,25 (10 kertaa vähemmän) tai viidenteen tekijään (50 kertaa vähemmän). Minkä tahansa luokan pisteytyksen muuttaminen muuttaisi radikaalisesti TikTokin ja muiden sovellusten riskipisteitä.
Erityisesti raportissa itsessään tunnustetaan, että "seurantatiedostot ovat yleensä asinamukainen ohjelmistokehityspaketti (SDK), joka on suunniteltu auttamaan kehittäjiä ymmärtämään, miten heidän sovelluksiaan käytetään, ratkaisemaan mahdolliset ongelmat ja parantamaan ohjelmistojaan." Ohjelmistokehityspakettien vinoutunut painotus ei ota huomioon esimerkiksi sitä, että jotkut yritykset käyttävät isäntäohjelmistokehityspakettia, mikä tekisi SDK:iden määrästä vielä vähemmän merkityksellisen tekijän riskien arvioinnissa. Lyhyesti sanottuna Malcoren pisteytysjärjestelmässä ei yksinkertaisesti ole järkeä.
TikTokissa alustaamme käyttävien ihmisten yksityisyys ja turvallisuus ovat tärkeimpiä prioriteettejamme. Otamme vastuumme ihmisten yksityisyyden ja turvallisuuden turvaamisesta vakavasti ja käytämme huomattavia resursseja tämän tavoitteen saavuttamiseksi. Aiomme jatkossakin tarjota päivityksiä käytännöistämme uutishuoneessamme, ohjekeskuksessamme ja tietosuojakäytännöissämme.