Prvotno objavljeno v novicah TikTok.
Pozdravljamo legitimne preglede naše platforme in zavedamo se, da moramo za to, da ostanemo korak pred kibernetskimi grožnjami naslednje generacije, nenehno krepiti varnost naše platforme in sodelovati z vodilnimi strokovnjaki v panogi, da preizkusimo našo obrambo. Zato sodelujemo z vodilnimi organizacijami v panogi, kot je HackerOne, in zato tudi odpiramo vrata naših globalnih Središč za preglednost in odgovornost, da se ljudje lahko seznanijo z izvorno kodo in delovanjem algoritma naše aplikacije.
Ekipa Malcore iz organizacije Internet 2.0, ki sebe opisuje kot skupno ameriško in avstralsko podjetje za kibernetsko varnost, je 13. februarja objavila panožno analizo, ki je v najboljšem primeru zavajajoča, v najslabšem pa zelo pomanjkljiva in pristranska. V poročilu je navedeno, da je Malcore avtomatizirano orodje za analizo, namenjeno pregledovanju datotek in programov, odkrivanju zlonamerne programske opreme in ocenjevanju tveganja. Vendar je ekipa Malcore priznala, da je orodje uporabila za izvedbo neprepričljive analize, ki ni vključevala podrobnega pregleda izvorne kode. Njihovi rezultati so vsebovali številne netočnosti, zaradi katerih bi morali dvomiti v veljavnost njihovih ugotovitev.
V odgovor smo našim raziskovalcem naročili tehnično analizo Malcorjevih ugotovitev in v nadaljevanju predstavljamo, kaj smo odkrili.
SDK je nabor orodij, ki razvijalcem programske opreme pomagajo ustvarjati aplikacije za določeno platformo. Imamo postopek za ocenjevanje splošnega varnostnega tveganja vseh SDK-jev, integriranih v TikTok. V treh primerih je ekipa Malcore napačno prepoznala integracije SDK-jev. TikTok ne uporablja SDK-jev Pangle, Google CrashLytics ali Facebook Analytics. Preostale SDK-je, navedene v analizi ekipe Malcore, uporabljamo na naslednje načine:
Ekipa Malcore ni pojasnila sistema ocenjevanja, po katerem je TikTok dobil najvišjo (najslabšo) oceno 63,1 v primerjavi s panožnim standardom 34 za vse druge glavne aplikacije družbenih omrežij in povprečno oceno 28,8 za vseh 21 aplikacij.
V poročilu so poljubno navedeni ponderji dodeljenih ocen za pet dejavnikov: sledilnik/SDK-ji, nevarno dovoljenje, opozorilo o visoki resnosti za rezultate analize kode, sumljivo dovoljenje in opozorilo o resnosti za rezultate analize kode. Ni pojasnila, zakaj ali kako je bilo izbranih teh pet dejavnikov.
Poleg tega ni nobene razlage ali zunanje utemeljitve, zakaj je vsakemu dejavniku dodeljena ocena, ki mu je bila dodeljena, saj so sledilniki/SKD-ji dobili najvišjo oceno 2,5 v primerjavi z drugim dejavnikom 0,25 (10-krat manj) ali petim dejavnikom (50-krat manj). Če bi spremenili način ocenjevanja katere koli kategorije, bi se ocene tveganja za TikTok in druge aplikacije korenito spremenile.
Poročilo priznava, da so »sledilniki običajno legitimen komplet za razvoj programske opreme (SDK), ki razvijalcem pomaga razumeti, kako se njihove aplikacije uporabljajo, odpraviti morebitne težave in izboljšati njihovo programsko opremo«. Izkrivljeno ponderiranje SDK-jev na primer ne upošteva dejstva, da nekatera podjetja uporabljajo glavni SDK, zaradi česar bi bilo število SDK-jev še manj pomemben dejavnik za oceno tveganja. Skratka, Malcorjev sistem ocenjevanja preprosto ni smiseln.
Zasebnost in varnost ljudi, ki uporabljajo našo platformo, sta pri TikToku med najpomembnejšimi prednostnimi nalogami. Odgovornost za varovanje zasebnosti in varnost ljudi jemljemo resno in za dosego tega cilja namenjamo veliko sredstev. Še naprej nameravamo zagotavljati obvestila o naših praksah v naših novicah, središču za pomoč in pravilnikih o zasebnosti.