Originalmente publicado no TikTok Newsroom.

Agradecemos a análise legítima da nossa plataforma e sabemos que mantermo-nos à frente das ameaças cibernéticas mais avançadas exige o reforço contínuo da segurança da nossa plataforma e a colaboração com os maiores especialistas do sector para testar as nossas defesas. É por essa razão que temos uma parceria com líderes do sector como a HackerOne e também a razão pela qual abrimos as portas dos nossos Centros de Transparência e Responsabilidade para as pessoas ficarem a saber mais acerca do nosso código de fonte e como funciona o algoritmo da nossa aplicação.

No dia 13 de fevereiro, a equipa Malcore na Internet 2.0, que se descreve como sendo uma empresa de segurança conjunta entre os E.U.A. e a Austrália, publicou uma análise do sector que é enganadora, tendenciosa e com falhas graves. Segundo o relatório, a Malcore é uma ferramenta de análise automatizada que foi criada para examinar ficheiros e programas, detetar malware e avaliar o risco. No entanto, por sua própria admissão, a equipa Malcore utilizou a ferramenta para efetuar uma análise inconclusiva que não incluiu uma análise detalhada do código de fonte. Os resultados continuam uma quantidade de imprecisões que deveriam pôr em causa a validade das conclusões.

Em resposta, os nossos próprios investigadores efetuaram uma análise técnica das conclusões da Malcore e abaixo encontrará o que descobrimos.

As nossas práticas de recolha de dados

• O TikTok não recolhe o IMEI, número de série SIM, ou o número de identificação do cartão do circuito integrado do dispositivo do utilizador. A versão atual da app do TikTok não utiliza endereços MAC. Encorajamos os utilizadores a descarregar a versão mais atual da app, que inclui atualizações de segurança importantes.
• O TikTok não recolhe todas as contas de um dispositivo.
• Em certas regiões, tais como os Estados Unidos, Austrália e Coreia do Sul, as versões atuais da app TikTok não recolhem informações precisas ou aproximadas de GPS dos utilizadores. Noutras regiões em que um utilizador pode conceder, e de facto concede, permissões ao TikTok para recolher dados de localização de GPS, o TikTok recolhe dados de localização com base nos dados de GPS do dispositivo do utilizador.
• Em alguns casos, quando utilizadores dos E.U.A. utilizam uma versão mais antiga da app TikTok que permitia a recolha de dados preciso ou aproximados de GPS (última versão em agosto de 2020), e concederam ao TikTok permissão para o fazer, podemos ter recolhido tais dados. As pessoas podem sempre impedir o seu dispositivo de partilhar essas informações com o TikTok ou revogar uma permissão concedida anteriormente a qualquer altura através das definições do seu dispositivo.
• Utilizamos dados de localização para nos ajudar a melhorar a experiência da app e pelas razões descritas na nossa Política de Privacidade, tais como para mostrar aos nossos utilizadores vídeos e conteúdos que sejam populares na sua área e, onde seja aplicável, anúncios mais relevantes.
• Além disso, as pessoas podem escolher permitir que a plataforma aceda as fotografias, listas de contactos, bem como ao microfone e câmara do dispositivo. Detalhamos os dados que recolhemos nas nossas políticas de privacidade e no nosso centro de ajuda.

Software Development Kits (SDK)

Um SDK é um conjunto de ferramentas que ajudam os programadores de software a criar aplicações para uma plataforma específica. Dispomos de um processo para avaliar o risco de segurança geral de qualquer SDK integrado com o o TikTok. Em três casos, a equipa Malcore identificou incorretamente as integrações de SDK. O TikTok não utiliza SDKs Pangle, Google CrashLytics ou Facebook Analytics. Utilizamos os restantes SDKs citados na análise da Malcore das seguintes formas:

• Facebook Login SDK e VKontakte SDK (disponível em apenas 8 países) são usados para permitir que os utilizadores iniciem sessão com as suas credenciais do Facebook ou VK. O Facebook Share permite que os utilizadores partilhem conteúdo do TikTok no Facebook.
• O Facebook Bolts é um SDK de open source que ajuda os engenheiros a desenvolver apps para dispositivos móveis. A Appsflyer e Google Firebase Analytics são ferramentas para medição e análise de dados.

Pontuações e pesos

A equipa Malcore não ofereceu qualquer explicação para o sistema de pontuação que deu ao TikTok a mais alta (pior) de 63,1, comparada com os 34 que são norma do sector para todas as outras grandes app de redes sociais e uma pontuação média de 28,8 para as 21 apps.

O relatório lista arbitrariamente o pesos de pontuação atribuída para cinco fatores: tracker/SDKs, permissão grave, aviso de alta gravidade para resultados de análise de código, permissão suspeita, e aviso de gravidade para resultados de análise de código. Não explicação do processo de escolha destes cinco fatores.

Além disso, não há explicação ou justificação externa para a razão pela qual é atribuída a cada fator a pontuação que lhe foi atribuída, com tracker/SDKs tendo recebido a pontuação mais alta de 2,5 em comparação com o segundo fator com 0,25 (10 vezes menos) ou o quinto fator (50 vezes menos). Mudar a forma como uma categoria é pontuada mudaria radicalmente as pontuações de risco do TikTok e de outras apps.

É digno de nota o facto do próprio relatório reconhecer que "os trackers são normalmente um kit de desenvolvimento de software (SDK) legítimo, sendo concebidos para ajudar os programadores a compreender a forma como as suas apps estão a ser usadas, resolver problemas potenciais e melhorar o seu software." O peso distorcido dos SDKs não tem em conta, por exemplo, que algumas empresas utilizam um master SDK, o que transformaria o número de SDKs num fator ainda menos significativo para avaliar risco. Em suma, o sistema de pontuação da Malcore simplesmente não faz sentido.

No TikTok, a privacidade e a segurança das pessoas que utilizam a nossa plataforma estão entre as nossas prioridades mais elevadas. Levamos a sério a nossa responsabilidade de salvaguardar a privacidade e a segurança das pessoas, e dedicamos também recursos consideráveis a atingir este objetivo. Tencionamos continuar a proporcionar atualizações às nossas práticas no nosso newsroom, centro de ajuda ou nas nossas políticas de privacidade.