Diterbitkan pada asalnya di Bilik berita TikTok.

Kami mengalu-alukan ulasan yang berasas terhadap platform kami dan memahami bahawa mendepani ancaman siber generasi berikutnya memerlukan kami untuk sentiasa mengukuhkan keselamatan platform kami dan bekerjasama dengan pakar terkemuka industri, untuk menguji ketahanan kami. Itulah sebabnya kami menjalankan kerjasama dengan pakar terkemuka industri seperti HackerOne dan sebabnya kami membuka pintu Pusat Ketelusan dan Kebertanggungjawapan global kami kepada orang ramai untuk mengetahui tentang kod sumber dan cara algoritma aplikasi kami berfungsi.

Pada 13 Februari, pasukan Malcore di Internet 2.0, yang menerangkan pasukan mereka sebagai sebuah syarikat keselamatan siber usahasama A.S. dan Australia, telah menerbitkan analisis industri yang sangat mengelirukan dan dalam keadaan yang teruk, sebuah analisis yang pincang dan berat sebelah. Menurut laporan tersebut, Malcore ialah alat analisis berautomatik yang direka bentuk untuk mengimbas fail dan program, mengesan perisian hasad dan menilai risiko. Tetapi mengikut pengakuan mereka sendiri, pasukan Malcore menggunakan alat tersebut untuk menjalankan analisis yang tidak memberikan sebarang kesimpulan dan tidak menyertakan semakan kod sumber yang terperinci. Keputusan mereka mengandungi beberapa ketidaktepatan yang perlu diragui kesahan bagi penemuan mereka.

Sebagai respons, penyelidik kami sendiri telah menjalankan analisis teknikal terhadap penemuan Malcore dan berikut ialah kesimpulan yang kami temukan.

Amalan Pengumpulan Data Kami

• TikTok tidak mengumpulkan IMEI peranti pengguna, nombor siri SIM atau nombor pengenalan kad litar bersepadu. Versi semsa apl TikTok tidak menggunakan alamat MAC. Kami menggalakkan pengguna untuk memuat turun versi terkini apl, yang mengandungi kemas kini keselamatan penting.
• TikTok tidak mengumpul semua akaun pada satu peranti.
• Di sesetengah rantau seperti Amerika Syarikat, Australia dan Korea Selatan, versi semasa apl TikTok tidak mengumpul maklumat GPS tepat atau anggaran daripada pengguna. Di rantau lain yang pengguna boleh memberikan kebenaran atau tidak memberikan kebenaran kepada TikTok untuk mengumpul maklumat GPS, TikTok mengumpul maklumat lokasi berdasarkan data GPS peranti pengguna.
• Dalam sesetengah keadaan yang pengguna A.S. menggunakan versi apl TikTok lebih awal yang membolehkan pengumpulan maklumat GPS tepat atau anggaran (keluaran terakhir Ogos 2020), dan memberi kebenaran kepada TikTok untuk berbuat demikian, kami mungkin mengumpul maklumat sedemikian. Orang ramai sentiasa boleh mencegah peranti mereka daripada berkongsi maklumat sedemikian dengan TikTok atau membatalkan kebenaran yang diberikan sebelumnya pada bila-bila masa melalui tetapan peranti mereka.
• Kami menggunakan maklumat lokasi untuk membantu kami menambah baik pengalaman apl dan untuk sebab yang ditetapkan dalam Dasar Privasi kami, seperti memaparkan kepada pengguna video dan kandungan yang popular di kawasan mereka, dan apabila berkenaan, iklan yang lebih berkaitan.
• Selain itu, orang ramai boleh memilih untuk membenarkan platform mengakses gambar, senarai kenalan dan mikrofon serta kamera peranti. Kami memperincikan maklumat yang kami kumpul dalam dasar privasi kami dan dalam pusat bantuan kami.

Kit Pembangunan Perisian (SDK)

SDK ialah set alat yang membantu pembangun perisian mencipta aplikasi untuk platform tertentu. Kami mempunyai proses untuk menilai keseluruhan risiko keselamatan bagi mana-mana SDK yang disepadukan dengan TikTok. Dalam ketiga-tiga keadaan, pasukan Malcore telah silap dalam mengenal pasti penyepaduan SDK. TikTok tidak menggunakan SDK Pangle, Google CrashLytics atau Facebook Analytics. Kami menggunakan SDK selebihnya yang dinyatakan dalam analisis Malcore dengan cara yang berikut:

• SDK Log masuk Facebook dan SDK VKontakte (tersedia hanya di 8 negara) digunakan untuk membolehkan pengguna log masuk menggunakan kelayakan Facebook atau VK. Facebook Share membolehkan pengguna berkongsi kandungan daripada TikTok ke Facebook.
• Facebook Bolts ialah SDK sumber terbuka untuk membantu jurutera membangun apl mudah alih. Appsflyer dan Google Firebase Analytics ialah alat pengukuran dan analisis data.

Pemarkatan & Penimbang

Pasukan Malcore tidak menawarkan apa-apa penjelasan tentang sistem pemarkatan yang telah memberikan markah tertinggi kepada TikTok (paling teruk) pada 63.1, berbanding dengan standard industri 34 bagi semua apl media sosial utama yang lain dan markah purata 28.8 untuk semua 21 apl.

Laporan tersebut sewenang-wenangnya menyenaraikan penimbang markah yang diuntukkan bagi lima faktor: penjejak/SDK, kebenaran berbahaya, amaran teruk yang tinggi untuk hasil analisis kod, kebenaran yang meragukan dan amaran teruk untuk hasil analisis kod. Tiada penjelasan tentang sebab atau cara lima faktor ini dipilih.

Selain itu, tiada penjelasan diberikan atau tiada justifikasi luaran diberikan bagi sebab setiap markah yang diberi kepada setiap, dengan penjejak/SDK diberikan markah tertinggi 2.5 berbanding dengan faktor kedua pada 0.25 (10 kali kurang) daripada faktor kelima (50 kali kurang). Pertukaran cara mana-mana satu kategori diberikan markah akan mengubah markah risiko untuk TikTok dan apl yang lain secara ketara.

Laporan tersebut juga, terutamanya, mengakui bahawa "penjejak biasanya ialah kit pembangunan perisian (SDK) yang sah, direka bentuk untuk membantu pembangun memahami cara apl mereka digunakan, menyelesaikan isu yang mungkin berlaku dan menambah baik perisian mereka." Penimbang SDK yang terpencong tidak diambil kira, contohnya bahawa sesetengah syarikat menggunakan SDK induk, yang akan membuat bilangan SDK faktor yang kurang bermakna untuk menilaikan risiko. Secara ringkasnya, sistem pemarkatan Malcore tidak masuk akal.

Di TikTok, privasi dan keselamatan orang ramai yang menggunakan platform kami diberikan keutamaan paling tinggi. Kami mengambil berat tanggungjawab kami untuk melindungi privasi dan keselamatan orang ramai dan menumpukan sumber yang tinggi untuk mencapai matlamat ini. Kami merancang untuk terus menyediakan kemas kini amalan kami dalam bilik berita kami, pusat bantuan dan dasar privasi kami.