Julkaistu alun perin TikTok-uutishuoneessa.

Toivotamme tervetulleeksi alustamme asiaanperustuvan arvioinnin ja tiedämme, että seuraavan sukupolven kyberuhkien edellä pysyminen edellyttää, että vahvistamme jatkuvasti alustamme turvallisuutta ja teemme yhteistyötä alan johtavien asiantuntijoiden kanssa puolustuksemme testaamiseksi. Siksi teemme yhteistyötä alan johtajien, kuten HackerOnen, kanssa, ja siksi avaamme myös maailmanlaajuisten Avoimuus- ja vastuullisuuskeskustemme ovet, jotta ihmiset voivat oppia lähdekoodista ja sovelluksemme algoritmin toiminnasta.

Yhdysvaltain ja Australian yhteiseksi kyberturvallisuusyritykseksi itseään kuvailevan Internet 2.0:n Malcore-tiimi julkaisi 13. helmikuuta toimiala-analyysin, joka on parhaimmillaan harhaanjohtava ja pahimmillaan vakavasti puutteellinen ja puolueellinen analyysi. Raportin mukaan Malcore on automaattinen analyysityökalu, joka on suunniteltu skannaamaan tiedostoja ja ohjelmia, havaitsemaan haittaohjelmia ja arvioimaan riskejä. Kuitenkin oman tunnustuksensa mukaan Malcore-tiimi käytti työkalua suorittaakseen epävarman analyysin, joka ei sisältänyt yksityiskohtaista lähdekoodin tarkastusta. Heidän tuloksiinsa sisältyi useita epätarkkuuksia, joiden pitäisi kyseenalaistaa heidän havaintojensa paikkansapitävyys.

Vastauksena pyysimme omia tutkijoitamme suorittamaan teknisen analyysin Malcoren havainnoista, ja jäljempänä on, mitä löysimme.

Tiedonkeruukäytäntömme

• TikTok ei kerää käyttäjän laitteen IMEI-koodia, SIM-kortin sarjanumeroa tai integroidun piirikortin tunnistenumeroa. TikTok-sovelluksen nykyinen versio ei käytä MAC-osoitteita. Kehotamme käyttäjiä lataamaan sovelluksen uusimman version, joka sisältää tärkeitä tietoturvapäivityksiä.
• TikTok ei kerää kaikkia laitteen tilejä.
• Tietyillä alueilla, kuten Yhdysvalloissa, Australiassa ja Etelä-Koreassa, TikTok-sovelluksen nykyiset versiot eivät kerää käyttäjiltä tarkkoja tai likimääräisiä GPS-tietoja. Muilla alueilla, joilla käyttäjä voi myöntää ja myöntää TikTokille luvan kerätä GPS-sijaintitietoja, TikTok kerää sijaintitietoja käyttäjän laitteen GPS-tietojen perusteella.
• Joissakin tapauksissa, joissa yhdysvaltalaiset käyttäjät käyttävät TikTok-sovelluksen vanhempaa versiota, joka mahdollisti tarkkojen tai likimääräisten GPS-tietojen keräämisen (viimeisin julkaisu elokuussa 2020) ja antoi TikTokille luvan tehdä niin, voimme kerätä tällaisia tietoja. Ihmiset voivat aina estää laitettaan jakamasta tällaisia tietoja TikTokin kanssa tai peruuttaa aiemmin myönnetyn luvan milloin tahansa laitteen asetusten kautta.
• Käytämme sijaintitietoja parantaaksemme sovelluksen käyttökokemusta ja tietosuojakäytännössämme mainituista syistä, kuten näyttääksemme käyttäjille heidän alueellaan suosittuja videoita ja sisältöä sekä soveltuvin osin osuvampia mainoksia.
• Lisäksi ihmiset voivat halutessaan sallia alustalle valokuvien, yhteystietoluetteloiden sekä laitteen mikrofonin ja kameran käyttöoikeuden. Kerromme keräämistämme tiedoista yksityiskohtaisesti tietosuojakäytännöissämme ja ohjekeskuksessamme.

Ohjelmistokehityspaketit (SDK)

SDK on joukko työkaluja, joiden avulla ohjelmistokehittäjät voivat luoda sovelluksia tietylle alustalle. Meillä on prosessi TikTokiin integroidun SDK:n yleisen turvallisuusriskin arvioimiseksi. Kolmessa tapauksessa Malcore-tiimi tunnisti SDK-integraatiot väärin. TikTok ei käytä Pangle-, Google CrashLytics- tai Facebook Analytics -ohjelmistokehityspaketteja. Käytämme muita Malcoren analyysissä mainittuja ohjelmistokehityspaketteja seuraavilla tavoilla:

• Facebook Login SDK:ta ja VKontakte SDK:ta (saatavilla vain 8 maassa) käytetään, jotta käyttäjät voivat kirjautua sisään Facebook- tai VK-tunnuksillaan. Facebook Share antaa käyttäjille mahdollisuuden jakaa sisältöä TikTokista Facebookiin.
• Facebook Bolts on avoimen lähdekoodin SDK, joka auttaa insinöörejä kehittämään mobiilisovelluksia. Appsflyer ja Google Firebase Analytics ovat mittaus- ja data-analyysityökaluja.

Pisteytys ja painotus

Malcoren tiimi ei ole tarjonnut mitään selitystä pisteytysjärjestelmälle, joka antoi TikTokille korkeimman (huonoimman) pistemäärän 63,1 pistettä, verrattuna kaikkien muiden suurten sosiaalisen median sovellusten alan standardiin, joka oli 34 pistettä, ja jossa kaikkien 21 sovelluksen keskiarvo oli 28,8 pistettä.

Raportissa luetellaan mielivaltaisesti määritetyt pisteiden painotukset viidelle tekijälle: seurantatiedostot/SDK:t, vaarallinen lupa, korkean vakavuuden varoitus koodianalyysituloksille, epäilyttävä lupa ja vakavuusvaroitus koodianalyysituloksille. Sille, miksi tai miten nämä viisi tekijää valittiin, ei ole selitystä.

Lisäksi ei ole mitään selitystä tai ulkoista perustelua sille, miksi kullekin tekijälle on määritetty sille annettu pistemäärä, ja seurantatiedostot/SDK:t saavat korkeimman pistemäärän 2,5 verrattuna toiseen tekijään 0,25 (10 kertaa vähemmän) tai viidenteen tekijään (50 kertaa vähemmän). Minkä tahansa luokan pisteytyksen muuttaminen muuttaisi radikaalisesti TikTokin ja muiden sovellusten riskipisteitä.

Erityisesti raportissa itsessään tunnustetaan, että "seurantatiedostot ovat yleensä asinamukainen ohjelmistokehityspaketti (SDK), joka on suunniteltu auttamaan kehittäjiä ymmärtämään, miten heidän sovelluksiaan käytetään, ratkaisemaan mahdolliset ongelmat ja parantamaan ohjelmistojaan." Ohjelmistokehityspakettien vinoutunut painotus ei ota huomioon esimerkiksi sitä, että jotkut yritykset käyttävät isäntäohjelmistokehityspakettia, mikä tekisi SDK:iden määrästä vielä vähemmän merkityksellisen tekijän riskien arvioinnissa. Lyhyesti sanottuna Malcoren pisteytysjärjestelmässä ei yksinkertaisesti ole järkeä.

TikTokissa alustaamme käyttävien ihmisten yksityisyys ja turvallisuus ovat tärkeimpiä prioriteettejamme. Otamme vastuumme ihmisten yksityisyyden ja turvallisuuden turvaamisesta vakavasti ja käytämme huomattavia resursseja tämän tavoitteen saavuttamiseksi. Aiomme jatkossakin tarjota päivityksiä käytännöistämme uutishuoneessamme, ohjekeskuksessamme ja tietosuojakäytännöissämme.