Diterbitkan pada asalnya di Bilik berita TikTok.
Kami mengalu-alukan ulasan yang berasas terhadap platform kami dan memahami bahawa mendepani ancaman siber generasi berikutnya memerlukan kami untuk sentiasa mengukuhkan keselamatan platform kami dan bekerjasama dengan pakar terkemuka industri, untuk menguji ketahanan kami. Itulah sebabnya kami menjalankan kerjasama dengan pakar terkemuka industri seperti HackerOne dan sebabnya kami membuka pintu Pusat Ketelusan dan Kebertanggungjawapan global kami kepada orang ramai untuk mengetahui tentang kod sumber dan cara algoritma aplikasi kami berfungsi.
Pada 13 Februari, pasukan Malcore di Internet 2.0, yang menerangkan pasukan mereka sebagai sebuah syarikat keselamatan siber usahasama A.S. dan Australia, telah menerbitkan analisis industri yang sangat mengelirukan dan dalam keadaan yang teruk, sebuah analisis yang pincang dan berat sebelah. Menurut laporan tersebut, Malcore ialah alat analisis berautomatik yang direka bentuk untuk mengimbas fail dan program, mengesan perisian hasad dan menilai risiko. Tetapi mengikut pengakuan mereka sendiri, pasukan Malcore menggunakan alat tersebut untuk menjalankan analisis yang tidak memberikan sebarang kesimpulan dan tidak menyertakan semakan kod sumber yang terperinci. Keputusan mereka mengandungi beberapa ketidaktepatan yang perlu diragui kesahan bagi penemuan mereka.
Sebagai respons, penyelidik kami sendiri telah menjalankan analisis teknikal terhadap penemuan Malcore dan berikut ialah kesimpulan yang kami temukan.
SDK ialah set alat yang membantu pembangun perisian mencipta aplikasi untuk platform tertentu. Kami mempunyai proses untuk menilai keseluruhan risiko keselamatan bagi mana-mana SDK yang disepadukan dengan TikTok. Dalam ketiga-tiga keadaan, pasukan Malcore telah silap dalam mengenal pasti penyepaduan SDK. TikTok tidak menggunakan SDK Pangle, Google CrashLytics atau Facebook Analytics. Kami menggunakan SDK selebihnya yang dinyatakan dalam analisis Malcore dengan cara yang berikut:
Pasukan Malcore tidak menawarkan apa-apa penjelasan tentang sistem pemarkatan yang telah memberikan markah tertinggi kepada TikTok (paling teruk) pada 63.1, berbanding dengan standard industri 34 bagi semua apl media sosial utama yang lain dan markah purata 28.8 untuk semua 21 apl.
Laporan tersebut sewenang-wenangnya menyenaraikan penimbang markah yang diuntukkan bagi lima faktor: penjejak/SDK, kebenaran berbahaya, amaran teruk yang tinggi untuk hasil analisis kod, kebenaran yang meragukan dan amaran teruk untuk hasil analisis kod. Tiada penjelasan tentang sebab atau cara lima faktor ini dipilih.
Selain itu, tiada penjelasan diberikan atau tiada justifikasi luaran diberikan bagi sebab setiap markah yang diberi kepada setiap, dengan penjejak/SDK diberikan markah tertinggi 2.5 berbanding dengan faktor kedua pada 0.25 (10 kali kurang) daripada faktor kelima (50 kali kurang). Pertukaran cara mana-mana satu kategori diberikan markah akan mengubah markah risiko untuk TikTok dan apl yang lain secara ketara.
Laporan tersebut juga, terutamanya, mengakui bahawa "penjejak biasanya ialah kit pembangunan perisian (SDK) yang sah, direka bentuk untuk membantu pembangun memahami cara apl mereka digunakan, menyelesaikan isu yang mungkin berlaku dan menambah baik perisian mereka." Penimbang SDK yang terpencong tidak diambil kira, contohnya bahawa sesetengah syarikat menggunakan SDK induk, yang akan membuat bilangan SDK faktor yang kurang bermakna untuk menilaikan risiko. Secara ringkasnya, sistem pemarkatan Malcore tidak masuk akal.
Di TikTok, privasi dan keselamatan orang ramai yang menggunakan platform kami diberikan keutamaan paling tinggi. Kami mengambil berat tanggungjawab kami untuk melindungi privasi dan keselamatan orang ramai dan menumpukan sumber yang tinggi untuk mencapai matlamat ini. Kami merancang untuk terus menyediakan kemas kini amalan kami dalam bilik berita kami, pusat bantuan dan dasar privasi kami.