Pôvodne uverejnené v TikTok newsroom.
Vítame legitímne preskúmanie našej platformy a vieme, že udržať si náskok pred kybernetickými hrozbami novej generácie si vyžaduje, aby sme neustále posilňovali bezpečnosť našej platformy a spolupracovali s poprednými odborníkmi v odvetví na testovaní našej obrany. Preto spolupracujeme s lídrami v odbore, ako je HackerOne, a tiež preto otvárame dvere našich globálnych centier transparentnosti a zodpovednosti, aby sa ľudia dozvedeli o zdrojovom kóde a fungovaní algoritmu našej aplikácie.
Tím Malcore zo spoločnosti Internet 2.0, ktorá sa označuje za spoločnú americkú a austrálsku spoločnosť pre kybernetickú bezpečnosť, zverejnil 13. februára analýzu odvetvia, ktorá je v lepšom prípade zavádzajúca a v horšom prípade veľmi chybná a neobjektívna. Podľa správy je Malcore automatický analytický nástroj určený na skenovanie súborov a programov, zisťovanie škodlivého softvéru a hodnotenie rizík. Tím Malcore však podľa vlastného priznania použil tento nástroj na vykonanie nepresvedčivej analýzy, ktorá nezahŕňala podrobnú kontrolu zdrojového kódu. Ich výsledky obsahovali niekoľko nepresností, ktoré by mali spochybniť platnosť ich zistení.
V reakcii na to sme požiadali našich vlastných výskumníkov, aby vykonali technickú analýzu zistení spoločnosti Malcore, a nižšie uvádzame, čo sme zistili.
SDK je súbor nástrojov, ktoré pomáhajú vývojárom softvéru vytvárať aplikácie pre konkrétnu platformu. Máme proces na posúdenie celkového bezpečnostného rizika každého SDK integrovaného s TikTokom. V troch prípadoch tím Malcore nesprávne identifikoval integrácie SDK. TikTok nepoužíva Pangle, Google CrashLytics ani Facebook Analytics SDK. Zvyšné súbory SDK uvedené v analýze spoločnosti Malcore používame nasledujúcim spôsobom:
Tím Malcore neponúkol žiadne vysvetlenie systému bodovania, na základe ktorého získal TikTok najvyššie (najhoršie) skóre 63,1 v porovnaní s priemyselným štandardom 34 pre všetky ostatné hlavné aplikácie sociálnych médií a priemerným skóre 28,8 pre všetkých 21 aplikácií.
V správe sú ľubovoľne uvedené pridelené váhy skóre pre päť faktorov: tracker/SDK, nebezpečné oprávnenie, upozornenie na vysokú závažnosť výsledkov analýzy kódu, podozrivé oprávnenie a upozornenie na závažnosť výsledkov analýzy kódu. Nie je vysvetlené, prečo alebo ako bolo týchto päť faktorov vybraných.
Okrem toho chýba vysvetlenie alebo externé zdôvodnenie, prečo je každému faktoru pridelené také skóre, aké mu bolo pridelené, pričom tracker/SDK dostal najvyššie skóre 2,5 v porovnaní s druhým faktorom 0,25 (10-krát menej) alebo piatym faktorom (50-krát menej). Zmena spôsobu hodnotenia ktorejkoľvek kategórie by radikálne zmenila skóre rizika pre TikTok a ostatné aplikácie.
Pozoruhodné je, že samotná správa uznáva, že „sledovacie nástroje sú zvyčajne legitímnou sadou na vývoj softvéru (SDK), ktorá má vývojárom pomôcť pochopiť, ako sa ich aplikácie používajú, vyriešiť potenciálne problémy a zlepšiť ich softvér.“ Skreslená váha SDK nezohľadňuje napríklad to, že niektoré spoločnosti používajú hlavný SDK, čím by sa počet SDK stal ešte menej významným faktorom na posúdenie rizika. Bodovací systém spoločnosti Malcore skrátka nedáva zmysel.
Súkromie a bezpečnosť ľudí, ktorí používajú našu platformu, patria v TikToku medzi naše najvyššie priority. Zodpovednosť za ochranu súkromia a bezpečnosti ľudí berieme vážne a na dosiahnutie tohto cieľa vynakladáme značné prostriedky. Plánujeme pokračovať v poskytovaní aktualizácií o našich postupoch v našej redakcii, Centre pomoci a našich Zásadách ochrany súkromia.