Pôvodne uverejnené v TikTok newsroom.

Vítame legitímne preskúmanie našej platformy a vieme, že udržať si náskok pred kybernetickými hrozbami novej generácie si vyžaduje, aby sme neustále posilňovali bezpečnosť našej platformy a spolupracovali s poprednými odborníkmi v odvetví na testovaní našej obrany. Preto spolupracujeme s lídrami v odbore, ako je HackerOne, a tiež preto otvárame dvere našich globálnych centier transparentnosti a zodpovednosti, aby sa ľudia dozvedeli o zdrojovom kóde a fungovaní algoritmu našej aplikácie.

Tím Malcore zo spoločnosti Internet 2.0, ktorá sa označuje za spoločnú americkú a austrálsku spoločnosť pre kybernetickú bezpečnosť, zverejnil 13. februára analýzu odvetvia, ktorá je v lepšom prípade zavádzajúca a v horšom prípade veľmi chybná a neobjektívna. Podľa správy je Malcore automatický analytický nástroj určený na skenovanie súborov a programov, zisťovanie škodlivého softvéru a hodnotenie rizík. Tím Malcore však podľa vlastného priznania použil tento nástroj na vykonanie nepresvedčivej analýzy, ktorá nezahŕňala podrobnú kontrolu zdrojového kódu. Ich výsledky obsahovali niekoľko nepresností, ktoré by mali spochybniť platnosť ich zistení.

V reakcii na to sme požiadali našich vlastných výskumníkov, aby vykonali technickú analýzu zistení spoločnosti Malcore, a nižšie uvádzame, čo sme zistili.

Naše postupy zhromažďovania údajov

• TikTok nezhromažďuje IMEI používateľského zariadenia, sériové číslo SIM karty ani identifikačné číslo karty integrovaného obvodu. Súčasná verzia aplikácie TikTok nepoužíva adresy MAC. Odporúčame používateľom, aby si stiahli najnovšiu verziu aplikácie, ktorá obsahuje dôležité bezpečnostné aktualizácie.
• TikTok nezhromažďuje všetky účty v zariadení.
• V niektorých regiónoch, ako sú Spojené štáty, Austrália a Južná Kórea, súčasné verzie aplikácie TikTok nezhromažďujú od používateľov presné alebo približné informácie GPS. V ostatných oblastiach, kde používateľ môže udeliť a udeľuje spoločnosti TikTok povolenie na zhromažďovanie informácií o polohe GPS, spoločnosť TikTok zhromažďuje informácie o polohe na základe údajov GPS zariadenia používateľa.
• V niektorých prípadoch, keď používatelia z USA používajú staršiu verziu aplikácie TikTok, ktorá umožňovala zhromažďovanie presných alebo približných informácií GPS (posledné vydanie v auguste 2020), a udelili spoločnosti TikTok povolenie na zhromažďovanie takýchto informácií, môžeme takéto informácie zhromažďovať. Používatelia môžu kedykoľvek zabrániť svojmu zariadeniu zdieľať takéto informácie so spoločnosťou TikTok alebo kedykoľvek zrušiť predtým udelené povolenie prostredníctvom nastavení svojho zariadenia.
• Informácie o polohe používame na zlepšenie používania aplikácie a z dôvodov uvedených v našich Zásadách ochrany súkromia, napríklad na zobrazovanie videí a obsahu, ktoré sú v ich oblasti populárne, a prípadne na zobrazovanie relevantnejších reklám.
• Okrem toho sa používatelia môžu rozhodnúť, či umožnia platforme prístup k fotografiám, zoznamom kontaktov a mikrofónu a fotoaparátu zariadenia. Podrobné informácie, ktoré zhromažďujeme, sú uvedené v našich Zásadách ochrany súkromia a v našom Centre pomoci.

Súpravy na vývoj softvéru (SDK)

SDK je súbor nástrojov, ktoré pomáhajú vývojárom softvéru vytvárať aplikácie pre konkrétnu platformu. Máme proces na posúdenie celkového bezpečnostného rizika každého SDK integrovaného s TikTokom. V troch prípadoch tím Malcore nesprávne identifikoval integrácie SDK. TikTok nepoužíva Pangle, Google CrashLytics ani Facebook Analytics SDK. Zvyšné súbory SDK uvedené v analýze spoločnosti Malcore používame nasledujúcim spôsobom:

• Facebook Login SDK a VKontakte SDK (dostupné len v 8 krajinách) sa používajú na to, aby sa používatelia mohli prihlásiť pomocou svojich prihlasovacích údajov na Facebooku alebo VK. Facebook Share umožňuje používateľom zdieľať obsah z TikToku na Facebooku.
• Facebook Bolts je open source SDK na pomoc inžinierom pri vývoji mobilných aplikácií. Appsflyer a Google Firebase Analytics sú nástroje na meranie a analýzu údajov.

Bodovanie a váženie

Tím Malcore neponúkol žiadne vysvetlenie systému bodovania, na základe ktorého získal TikTok najvyššie (najhoršie) skóre 63,1 v porovnaní s priemyselným štandardom 34 pre všetky ostatné hlavné aplikácie sociálnych médií a priemerným skóre 28,8 pre všetkých 21 aplikácií.

V správe sú ľubovoľne uvedené pridelené váhy skóre pre päť faktorov: tracker/SDK, nebezpečné oprávnenie, upozornenie na vysokú závažnosť výsledkov analýzy kódu, podozrivé oprávnenie a upozornenie na závažnosť výsledkov analýzy kódu. Nie je vysvetlené, prečo alebo ako bolo týchto päť faktorov vybraných.

Okrem toho chýba vysvetlenie alebo externé zdôvodnenie, prečo je každému faktoru pridelené také skóre, aké mu bolo pridelené, pričom tracker/SDK dostal najvyššie skóre 2,5 v porovnaní s druhým faktorom 0,25 (10-krát menej) alebo piatym faktorom (50-krát menej). Zmena spôsobu hodnotenia ktorejkoľvek kategórie by radikálne zmenila skóre rizika pre TikTok a ostatné aplikácie.

Pozoruhodné je, že samotná správa uznáva, že „sledovacie nástroje sú zvyčajne legitímnou sadou na vývoj softvéru (SDK), ktorá má vývojárom pomôcť pochopiť, ako sa ich aplikácie používajú, vyriešiť potenciálne problémy a zlepšiť ich softvér.“ Skreslená váha SDK nezohľadňuje napríklad to, že niektoré spoločnosti používajú hlavný SDK, čím by sa počet SDK stal ešte menej významným faktorom na posúdenie rizika. Bodovací systém spoločnosti Malcore skrátka nedáva zmysel.

Súkromie a bezpečnosť ľudí, ktorí používajú našu platformu, patria v TikToku medzi naše najvyššie priority. Zodpovednosť za ochranu súkromia a bezpečnosti ľudí berieme vážne a na dosiahnutie tohto cieľa vynakladáme značné prostriedky. Plánujeme pokračovať v poskytovaní aktualizácií o našich postupoch v našej redakcii, Centre pomoci a našich Zásadách ochrany súkromia.