Бастапқыда TikTok жаңалықтары бөлімінде жарияланған.

Біз платформамыздың заңды қайта қаралуын құптаймыз және киберқауіптердің келесі буынынан ілгері болу үшін платформамыздың қауіпсіздігін үнемі күшейтіп отыруымыз және қорғанысымызды тексеру үшін жетекші сала сарапшыларымен серіктес болуымыз керек екенін білеміз. Сондықтан біз HackerOne сияқты сала көшбасшыларымен серіктестік орнаттық және адамдар бастапқы код және қолданбамыздың алгоритмі қалай жұмыс істейтіні туралы біле алу үшін жаһандық Ашықтық және есеп беру орталықтарын аштық.

13 ақпанда өзін АҚШ және Австралия бірлескен киберқауіпсіздік компаниясы ретінде сипаттайтын Internet 2.0 компаниясының Malcore командасы ең дұрыс жағдайда жаңылыстыратын, ал ең нашар жағдайда өте қате және біржақты талдау жасайтын салалық талдауды жариялады. Есепке сәйкес, Malcore — файлдар мен бағдарламаларды сканерлеуге, зиянды бағдарламаларды анықтауға және тәуекелді бағалауға арналған автоматтандырылған талдау құралы. Алайда, өздерінің мойындауы бойынша, Malcore командасы бастапқы кодты егжей-тегжейлі талдауды қамтымайтын нәтижесіз талдау жасау үшін құралды пайдаланды. Олардың нәтижелерінде олардың тұжырымдарының дұрыстығына күмән тудыратын бірқатар дәлсіздіктер болды.

Жауап ретінде біз өз зерттеушілерімізден Malcore тұжырымдарына техникалық талдау жасауды өтіндік және төменде тапқанымызды ұсынып отырмыз.

Біздің деректер жинау тәжірибелеріміз

• TikTok пайдаланушы құрылғысының IMEI, SIM сериялық нөмірі немесе интегралды схема картасының сәйкестендіру нөмірін жинамайды. TikTok қолданбасының ағымдағы нұсқасы MAC мекенжайларын пайдаланбайды. Біз пайдаланушыларды маңызды қауіпсіздік жаңартуларын қамтитын қолданбаның соңғы нұсқасын жүктеп алуға шақырамыз.
• TikTok құрылғыдағы барлық аккаунттарды жинамайды.
• Америка Құрама Штаттары, Австралия және Оңтүстік Корея сияқты кейбір аймақтарда TikTok қолданбасының ағымдағы нұсқалары пайдаланушылардан нақты немесе шамамен GPS ақпаратын жинамайды. Пайдаланушы орналасқан жер туралы GPS ақпаратын жинауға TikTok рұқсатын бере алатын және беретін басқа аймақтарда TikTok пайдаланушы құрылғысының GPS деректеріне негізделген орналасқан жер туралы ақпаратты жинайды.
• Кейбір жағдайларда, АҚШ пайдаланушылары нақты немесе шамамен GPS ақпаратын жинауға мүмкіндік беретін (2020 жылдың тамызындағы соңғы шығарылым) және TikTok рұқсатын берген TikTok қолданбасының ескі нұсқасын пайдаланса, біз мұндай ақпаратты жинай аламыз. Адамдар кез келген уақытта құрылғыларының параметрлері арқылы TikTok-пен мұндай ақпаратты бөлісуге тыйым сала алады немесе бұрын берілген рұқсатты қайтарып ала алады.
• Қолданба тәжірибесін жақсартуға көмектесу үшін және Құпиялылық саясатымызда көрсетілген себептермен, мысалы, пайдаланушыларға өз аймағында танымал бейнелер мен контентті және қажет болған жағдайда, неғұрлым сәйкес жарнамаларды көрсету үшін орналасқан жер туралы ақпаратты пайдаланамыз.
• Сонымен қатар, адамдар платформаға фотосуреттерге, контактілер тізімдеріне және құрылғы микрофоны мен камерасына қатынасу рұқсатын беруді таңдай алады. Біз жинайтын ақпаратты құпиялылық саясатымызда және анықтамалық орталықта егжей-тегжейлі сипаттаймыз.

Бағдарламалық жасақтама әзірлеу жиынтықтары (SDK)

SDK — бағдарламалық жасақтаманы әзірлеушілерге белгілі бір платформаға арналған қолданбаларды жасауға көмектесетін құралдар жиынтығы. Бізде TikTok-пен біріктірілген кез келген SDK қауіпсіздігінің жалпы тәуекелін бағалау процесі бар. Үш жағдайда Malcore командасы SDK интеграцияларын қате анықтады. TikTok платформасы Pangle, Google CrashLytics немесе Facebook Analytics SDK-ларын қолданбайды. Біз Malcore талдауында келтірілген SDK-лардың қалған бөлігін келесі жолдармен пайдаланамыз:

• Facebook Login SDK және VKontakte SDK (тек 8 елде қолжетімді) пайдаланушыларға Facebook немесе VK аккаунт деректерін пайдаланып кіруге мүмкіндік беру үшін пайдаланылады. Facebook Share пайдаланушыларға TikTok-тан Facebook-ке контентті бөлісуге мүмкіндік береді.
• Facebook Bolts — инженерлерге мобильді қолданбаларды әзірлеуге көмектесетін ашық бастапқы SDK. Appsflyer және Google Firebase Analytics — өлшеу және деректерді талдау құралдары.

Бағалау және өлшеу

Malcore командасы барлық басқа негізгі әлеуметтік мультимедиа қолданбалары үшін салалық стандарт 34 және барлық 21 қолданба үшін 28,8 орташа көрсеткішпен салыстырғанда, TikTok-қа ең жоғары (ең нашар) 63,1 ұпай жинаған бағалау жүйесінің түсіндірмесін ұсынбады.

Есеп бес фактор үшін тағайындалған ұпай салмақтарын кездейсоқ тізімдейді: трекер/SDK, қауіпті ажыратымдылық, кодты талдау нәтижелері үшін жоғары маңыздылық ескертуі, күдікті ажыратымдылық және кодты талдау нәтижелері үшін маңыздылық ескертуі. Бұл бес фактордың неліктен немесе қалай таңдалғаны туралы ешқандай түсініктеме жоқ.

Бұған қоса, әрбір факторға неліктен ұпай берілгені туралы ешқандай түсініктеме немесе сыртқы негіздеме жоқ: трекерлер/SDK арқылы 0,25 мәніне ие екінші фактормен (10 есе аз) немесе бесінші фактормен (50 есе аз) салыстырғанда 2,5 жоғары ұпай берілді. Санатты бағалау әдісін өзгерту TikTok және басқа қолданбалар үшін тәуекелді бағалауды түбегейлі өзгертеді.

Атап айтқанда, есептің өзі «трекерлер әдетте әзірлеушілерге олардың қолданбаларының қалай пайдаланылатынын түсінуге, ықтимал мәселелерді шешуге және бағдарламалық жасақтаманы жақсартуға көмектесуге арналған бағдарламалық жасақтаманы әзірлеудің заңды жиынтығы (SDK) болып табылатыны» расталады. SDK салмағының біркелкі еместігі, мысалы, кейбір компаниялардың негізгі SDK пайдалану фактісін ескермейді, бұл SDK-лар санын тәуекелді бағалауда одан да маңызды емес фактор етеді. Бір сөзбен айтқанда, Malcore бағалау жүйесінің мағынасы жоқ.

TikTok-та біздің платформамызды пайдаланатын адамдардың құпиялылығы мен қауіпсіздігі біздің басты басымдықтарымыздың бірі болып табылады. Біз адамдардың құпиялылығы мен қауіпсіздігін қорғауға жауапкершілікпен қараймыз және осы мақсатқа жету үшін елеулі ресурстарды жұмсаймыз. Біз жаңалықтар, анықтамалық орталық және құпиялылық саясаттарымыз бөлімінде тәжірибелеріміз туралы жаңартуларды беруді жалғастыруды жоспарлап отырмыз.