Бастапқыда TikTok жаңалықтары бөлімінде жарияланған.
Біз платформамыздың заңды қайта қаралуын құптаймыз және киберқауіптердің келесі буынынан ілгері болу үшін платформамыздың қауіпсіздігін үнемі күшейтіп отыруымыз және қорғанысымызды тексеру үшін жетекші сала сарапшыларымен серіктес болуымыз керек екенін білеміз. Сондықтан біз HackerOne сияқты сала көшбасшыларымен серіктестік орнаттық және адамдар бастапқы код және қолданбамыздың алгоритмі қалай жұмыс істейтіні туралы біле алу үшін жаһандық Ашықтық және есеп беру орталықтарын аштық.
13 ақпанда өзін АҚШ және Австралия бірлескен киберқауіпсіздік компаниясы ретінде сипаттайтын Internet 2.0 компаниясының Malcore командасы ең дұрыс жағдайда жаңылыстыратын, ал ең нашар жағдайда өте қате және біржақты талдау жасайтын салалық талдауды жариялады. Есепке сәйкес, Malcore — файлдар мен бағдарламаларды сканерлеуге, зиянды бағдарламаларды анықтауға және тәуекелді бағалауға арналған автоматтандырылған талдау құралы. Алайда, өздерінің мойындауы бойынша, Malcore командасы бастапқы кодты егжей-тегжейлі талдауды қамтымайтын нәтижесіз талдау жасау үшін құралды пайдаланды. Олардың нәтижелерінде олардың тұжырымдарының дұрыстығына күмән тудыратын бірқатар дәлсіздіктер болды.
Жауап ретінде біз өз зерттеушілерімізден Malcore тұжырымдарына техникалық талдау жасауды өтіндік және төменде тапқанымызды ұсынып отырмыз.
SDK — бағдарламалық жасақтаманы әзірлеушілерге белгілі бір платформаға арналған қолданбаларды жасауға көмектесетін құралдар жиынтығы. Бізде TikTok-пен біріктірілген кез келген SDK қауіпсіздігінің жалпы тәуекелін бағалау процесі бар. Үш жағдайда Malcore командасы SDK интеграцияларын қате анықтады. TikTok платформасы Pangle, Google CrashLytics немесе Facebook Analytics SDK-ларын қолданбайды. Біз Malcore талдауында келтірілген SDK-лардың қалған бөлігін келесі жолдармен пайдаланамыз:
Malcore командасы барлық басқа негізгі әлеуметтік мультимедиа қолданбалары үшін салалық стандарт 34 және барлық 21 қолданба үшін 28,8 орташа көрсеткішпен салыстырғанда, TikTok-қа ең жоғары (ең нашар) 63,1 ұпай жинаған бағалау жүйесінің түсіндірмесін ұсынбады.
Есеп бес фактор үшін тағайындалған ұпай салмақтарын кездейсоқ тізімдейді: трекер/SDK, қауіпті ажыратымдылық, кодты талдау нәтижелері үшін жоғары маңыздылық ескертуі, күдікті ажыратымдылық және кодты талдау нәтижелері үшін маңыздылық ескертуі. Бұл бес фактордың неліктен немесе қалай таңдалғаны туралы ешқандай түсініктеме жоқ.
Бұған қоса, әрбір факторға неліктен ұпай берілгені туралы ешқандай түсініктеме немесе сыртқы негіздеме жоқ: трекерлер/SDK арқылы 0,25 мәніне ие екінші фактормен (10 есе аз) немесе бесінші фактормен (50 есе аз) салыстырғанда 2,5 жоғары ұпай берілді. Санатты бағалау әдісін өзгерту TikTok және басқа қолданбалар үшін тәуекелді бағалауды түбегейлі өзгертеді.
Атап айтқанда, есептің өзі «трекерлер әдетте әзірлеушілерге олардың қолданбаларының қалай пайдаланылатынын түсінуге, ықтимал мәселелерді шешуге және бағдарламалық жасақтаманы жақсартуға көмектесуге арналған бағдарламалық жасақтаманы әзірлеудің заңды жиынтығы (SDK) болып табылатыны» расталады. SDK салмағының біркелкі еместігі, мысалы, кейбір компаниялардың негізгі SDK пайдалану фактісін ескермейді, бұл SDK-лар санын тәуекелді бағалауда одан да маңызды емес фактор етеді. Бір сөзбен айтқанда, Malcore бағалау жүйесінің мағынасы жоқ.
TikTok-та біздің платформамызды пайдаланатын адамдардың құпиялылығы мен қауіпсіздігі біздің басты басымдықтарымыздың бірі болып табылады. Біз адамдардың құпиялылығы мен қауіпсіздігін қорғауға жауапкершілікпен қараймыз және осы мақсатқа жету үшін елеулі ресурстарды жұмсаймыз. Біз жаңалықтар, анықтамалық орталық және құпиялылық саясаттарымыз бөлімінде тәжірибелеріміз туралы жаңартуларды беруді жалғастыруды жоспарлап отырмыз.