Originalmente publicado no TikTok Newsroom.
Agradecemos a análise legítima da nossa plataforma e sabemos que mantermo-nos à frente das ameaças cibernéticas mais avançadas exige o reforço contínuo da segurança da nossa plataforma e a colaboração com os maiores especialistas do sector para testar as nossas defesas. É por essa razão que temos uma parceria com líderes do sector como a HackerOne e também a razão pela qual abrimos as portas dos nossos Centros de Transparência e Responsabilidade para as pessoas ficarem a saber mais acerca do nosso código de fonte e como funciona o algoritmo da nossa aplicação.
No dia 13 de fevereiro, a equipa Malcore na Internet 2.0, que se descreve como sendo uma empresa de segurança conjunta entre os E.U.A. e a Austrália, publicou uma análise do sector que é enganadora, tendenciosa e com falhas graves. Segundo o relatório, a Malcore é uma ferramenta de análise automatizada que foi criada para examinar ficheiros e programas, detetar malware e avaliar o risco. No entanto, por sua própria admissão, a equipa Malcore utilizou a ferramenta para efetuar uma análise inconclusiva que não incluiu uma análise detalhada do código de fonte. Os resultados continuam uma quantidade de imprecisões que deveriam pôr em causa a validade das conclusões.
Em resposta, os nossos próprios investigadores efetuaram uma análise técnica das conclusões da Malcore e abaixo encontrará o que descobrimos.
Um SDK é um conjunto de ferramentas que ajudam os programadores de software a criar aplicações para uma plataforma específica. Dispomos de um processo para avaliar o risco de segurança geral de qualquer SDK integrado com o o TikTok. Em três casos, a equipa Malcore identificou incorretamente as integrações de SDK. O TikTok não utiliza SDKs Pangle, Google CrashLytics ou Facebook Analytics. Utilizamos os restantes SDKs citados na análise da Malcore das seguintes formas:
A equipa Malcore não ofereceu qualquer explicação para o sistema de pontuação que deu ao TikTok a mais alta (pior) de 63,1, comparada com os 34 que são norma do sector para todas as outras grandes app de redes sociais e uma pontuação média de 28,8 para as 21 apps.
O relatório lista arbitrariamente o pesos de pontuação atribuída para cinco fatores: tracker/SDKs, permissão grave, aviso de alta gravidade para resultados de análise de código, permissão suspeita, e aviso de gravidade para resultados de análise de código. Não explicação do processo de escolha destes cinco fatores.
Além disso, não há explicação ou justificação externa para a razão pela qual é atribuída a cada fator a pontuação que lhe foi atribuída, com tracker/SDKs tendo recebido a pontuação mais alta de 2,5 em comparação com o segundo fator com 0,25 (10 vezes menos) ou o quinto fator (50 vezes menos). Mudar a forma como uma categoria é pontuada mudaria radicalmente as pontuações de risco do TikTok e de outras apps.
É digno de nota o facto do próprio relatório reconhecer que "os trackers são normalmente um kit de desenvolvimento de software (SDK) legítimo, sendo concebidos para ajudar os programadores a compreender a forma como as suas apps estão a ser usadas, resolver problemas potenciais e melhorar o seu software." O peso distorcido dos SDKs não tem em conta, por exemplo, que algumas empresas utilizam um master SDK, o que transformaria o número de SDKs num fator ainda menos significativo para avaliar risco. Em suma, o sistema de pontuação da Malcore simplesmente não faz sentido.
No TikTok, a privacidade e a segurança das pessoas que utilizam a nossa plataforma estão entre as nossas prioridades mais elevadas. Levamos a sério a nossa responsabilidade de salvaguardar a privacidade e a segurança das pessoas, e dedicamos também recursos consideráveis a atingir este objetivo. Tencionamos continuar a proporcionar atualizações às nossas práticas no nosso newsroom, centro de ajuda ou nas nossas políticas de privacidade.