TikTok приложението е използвало пропуск в Android, за да следи потребителите

Наскоро ByteDance и популярното им TikTok приложение, влязоха в полезрението на администрацията в Тръмп. Бяха изказани опасения, относно сигурността на приложението и възможността му, да събира потребителски данни, които пък биха могли да бъдат използвани от китайското правителство. САЩ на практика искат продажбата на TikTok операциите в Америка, като планира да попречи на ByteDance да прави бизнес в страната.

Оказва се, че може би има причини за безпокойство, що се отнася до потребителски данни.. TikTok са събирали данни от потребителите на Android смартфони до ноември, 2019 година. Възползвали са се от пропуск в сигурността на платформата, която може да се използва от други приложения и по този начин, да заобикаля правилата на Google. От въпросния пропуск на Android са се възползвали и други приложения, тъй като Google не са го запушили, въпреки че знаят за съществуването му.

Разследване на The Wall Street Journal показва, че TikTok са събирали MAC адресите на устройства с Android, което е в нарушение на защитите за поверителност на Google. MAC адресите са уникални идентификатори за всяко устройство, което може да се свърже с интернет. Същите MAC адреси, могат да се свържат с други данни за приложения от същия телефон и други източници – за да проследяват потребителите онлайн. За сравнение, Apple са спрели предоставянето на данни за MAC адреси, още през 2013 година. Google са го направили 2 години по-късно – през 2015 година.

По-рано тази година, TikTok са направили изявление, че приложението им събира по-малко лични данни от Facebook и Google. Тогава не се е знаело, че приложението следи потребителите чрез MAC адреса на смартфоните с Android. Говорител на компанията е заявил пред WSJ, че “настоящата версия на TikTok не събира MAC адреси”.

Вредата обаче, може би вече е нанесена…

TikTok са използвали решение, с което да заобиколят рестрикциите на Google за събиране на MAC адресите. След това, са налогали допълнително криптиране. Интернет трафикът често е криптиран, но в този случай, TikTok са имали допълнително, второ криптиране, което вероятно е било използвано за скриване на факта, че се събират MAC адреси.

При първоначална инсталация и стартиране на ново устройство, TikTok обединява придобития MAC адрес с други данни от смартфона и ги изпраща към сървърите на ByteDance. Този пакет включва и рекламния идентификатор на устройството (32-цифрен номер, който позволява на рекламодателите да следят поведението на потребителите). Въпросният рекламен идентификатор може да бъде нулиран, но… Ако някой има достъп с информация за MAC адреса на дадено устройство – той може просто да сдвои новия идентификатор със стария, въз основа на MAC адреса и следенето продължава. На практика единственото, работещо решение е – смяна на телефона и премахване на TikTok приложението.

TikTok са използвали пропуска на Android в продължение на 15 месеца, преди “екстрата” да бъде премахната.