Prvotno objavljeno v novicah TikTok.

Pozdravljamo legitimne preglede naše platforme in zavedamo se, da moramo za to, da ostanemo korak pred kibernetskimi grožnjami naslednje generacije, nenehno krepiti varnost naše platforme in sodelovati z vodilnimi strokovnjaki v panogi, da preizkusimo našo obrambo. Zato sodelujemo z vodilnimi organizacijami v panogi, kot je HackerOne, in zato tudi odpiramo vrata naših globalnih Središč za preglednost in odgovornost, da se ljudje lahko seznanijo z izvorno kodo in delovanjem algoritma naše aplikacije.

Ekipa Malcore iz organizacije Internet 2.0, ki sebe opisuje kot skupno ameriško in avstralsko podjetje za kibernetsko varnost, je 13. februarja objavila panožno analizo, ki je v najboljšem primeru zavajajoča, v najslabšem pa zelo pomanjkljiva in pristranska. V poročilu je navedeno, da je Malcore avtomatizirano orodje za analizo, namenjeno pregledovanju datotek in programov, odkrivanju zlonamerne programske opreme in ocenjevanju tveganja. Vendar je ekipa Malcore priznala, da je orodje uporabila za izvedbo neprepričljive analize, ki ni vključevala podrobnega pregleda izvorne kode. Njihovi rezultati so vsebovali številne netočnosti, zaradi katerih bi morali dvomiti v veljavnost njihovih ugotovitev.

V odgovor smo našim raziskovalcem naročili tehnično analizo Malcorjevih ugotovitev in v nadaljevanju predstavljamo, kaj smo odkrili.

Naše prakse zbiranja podatkov

• TikTok ne zbira številke IMEI naprave, serijske številke kartice SIM ali identifikacijske številke kartice integriranega vezja. Trenutna različica aplikacije TikTok ne uporablja naslova MAC. Uporabnike spodbujamo, da prenesejo najnovejšo različico aplikacije, ki vključuje pomembne varnostne posodobitve.
• TikTok ne zbira vseh računov v napravi.
• V nekaterih regijah, kot so Združene države Amerike, Avstralija in Južna Koreja, trenutne različice aplikacije TikTok od uporabnikov ne zbirajo natančnih ali približnih podatkov GPS. V drugih regijah, kjer lahko uporabnik TikToku dovoli zbiranje podatkov o lokaciji GPS, TikTok zbira podatke o lokaciji na podlagi podatkov GPS uporabnikove naprave.
• V primerih, ko ameriški uporabniki uporabljajo starejšo različico aplikacije TikTok, ki je omogočala zbiranje natančnih ali približnih podatkov GPS (zadnja izdaja avgusta 2020), in so za to TikToku dali dovoljenje, lahko zbiramo takšne podatke. Uporabniki lahko v nastavitvah naprave kadar koli preprečijo, da bi njihova naprava delila takšne podatke s TikTokom, ali kadar koli prekličejo predhodno odobreno dovoljenje.
• Podatke o lokaciji uporabljamo za pomoč pri izboljšanju izkušnje z aplikacijo in iz razlogov, navedenih v našem Pravilniku o zasebnosti, na primer za to, da uporabnikom prikažemo videoposnetke in vsebino, ki so priljubljeni na njihovem območju, ter po potrebi za prikaz ustreznejših oglasov.
• Poleg tega lahko platformi omogočijo dostop do fotografij, seznamov stikov ter mikrofona in kamere naprave. Podatke, ki jih zbiramo, podrobno opisujemo v naših pravilnikih o zasebnosti in v našem središču za pomoč.

Kompleti za razvoj programske opreme (SDK)

SDK je nabor orodij, ki razvijalcem programske opreme pomagajo ustvarjati aplikacije za določeno platformo. Imamo postopek za ocenjevanje splošnega varnostnega tveganja vseh SDK-jev, integriranih v TikTok. V treh primerih je ekipa Malcore napačno prepoznala integracije SDK-jev. TikTok ne uporablja SDK-jev Pangle, Google CrashLytics ali Facebook Analytics. Preostale SDK-je, navedene v analizi ekipe Malcore, uporabljamo na naslednje načine:

• Facebook Login SDK in VKontakte SDK (na voljo le v 8 državah) se uporabljata, da se uporabniki lahko prijavijo s svojimi poverilnicami za Facebook ali VK. Facebook Share uporabnikom omogoča deljenje vsebine iz TikToka na Facebooku.
• Facebook Bolts je odprtokodni SDK za pomoč inženirjem pri razvoju aplikacij za mobilne naprave. Appsflyer in Google Firebase Analytics sta orodji za merjenje in analizo podatkov.

Ocenjevanje in ponderiranje

Ekipa Malcore ni pojasnila sistema ocenjevanja, po katerem je TikTok dobil najvišjo (najslabšo) oceno 63,1 v primerjavi s panožnim standardom 34 za vse druge glavne aplikacije družbenih omrežij in povprečno oceno 28,8 za vseh 21 aplikacij.

V poročilu so poljubno navedeni ponderji dodeljenih ocen za pet dejavnikov: sledilnik/SDK-ji, nevarno dovoljenje, opozorilo o visoki resnosti za rezultate analize kode, sumljivo dovoljenje in opozorilo o resnosti za rezultate analize kode. Ni pojasnila, zakaj ali kako je bilo izbranih teh pet dejavnikov.

Poleg tega ni nobene razlage ali zunanje utemeljitve, zakaj je vsakemu dejavniku dodeljena ocena, ki mu je bila dodeljena, saj so sledilniki/SKD-ji dobili najvišjo oceno 2,5 v primerjavi z drugim dejavnikom 0,25 (10-krat manj) ali petim dejavnikom (50-krat manj). Če bi spremenili način ocenjevanja katere koli kategorije, bi se ocene tveganja za TikTok in druge aplikacije korenito spremenile.

Poročilo priznava, da so »sledilniki običajno legitimen komplet za razvoj programske opreme (SDK), ki razvijalcem pomaga razumeti, kako se njihove aplikacije uporabljajo, odpraviti morebitne težave in izboljšati njihovo programsko opremo«. Izkrivljeno ponderiranje SDK-jev na primer ne upošteva dejstva, da nekatera podjetja uporabljajo glavni SDK, zaradi česar bi bilo število SDK-jev še manj pomemben dejavnik za oceno tveganja. Skratka, Malcorjev sistem ocenjevanja preprosto ni smiseln.

Zasebnost in varnost ljudi, ki uporabljajo našo platformo, sta pri TikToku med najpomembnejšimi prednostnimi nalogami. Odgovornost za varovanje zasebnosti in varnost ljudi jemljemo resno in za dosego tega cilja namenjamo veliko sredstev. Še naprej nameravamo zagotavljati obvestila o naših praksah v naših novicah, središču za pomoč in pravilnikih o zasebnosti.