Baksidan av TikTok
Video-appen TikTok är den senaste flugan. Den gör det möjligt för användare att spela in videor där de sjunger, spelar och/eller dansar, redigera dem med effekter och dela dem med andra användare. Den ser ut som en oskyldig app och är enormt populär bland barn och ungdomar. På kort tid har TikTok redan lockat mer än 100 miljoner användare. Det finns emellertid också flera studier som indikerar att videoappen inte är så oskyldig som den verkar; antagligen får användare en betydande sekretessrisk och appens säkerhet är otillräcklig. En kort översikt över vad som är känt om TikTok hittills:
Användare
TikTok-appen används främst av ungdomar. Formellt finns det en åldersgräns på 13 år, men vi ser att appen också är en hit bland yngre barn. Detta innebär att organisationer eller individer som vill nå denna målgrupp (ofta för affärsändamål) också kommer in på plattformen. Det gör det intressant (och oroande), för det är just runt denna målgrupp som vi i västländerna tillämpar ganska strikta regler för integritet och reklam. TikTok utmärker sig inte exakt på detta.
Ursprung och integritet
Tillverkaren av TikTok är det kinesiska företaget ByteDance. För några år sedan tog de över appen Musical.ly och förvandlade den till TikTok. Nu är det inget fel med kinesiska produkter, men användare bör inse att Kina ser på sekretess och säkerhet annorlunda än vi är vana vid här i väst. Det finns mycket få regler i Kina som avgör hur tillverkare ska hantera användarnas integritet och säkerhet, och den kinesiska regeringen har sina egna tankar om detta.
Medan bevakare av sekretess i väst förhindrar lokala myndigheter (t.ex. de amerikanska) från att få insyn i eller kunna påverka sociala medie-appar som Facebook och Instagram, väcker bristen på sådana organisationer i Kina också frågan hur långt Pekings arm når inom TikTok. Och den räckvidden verkar vara lång.
TikTok säger i sina allmänna villkor och integritetsförklaring - det finstilta som ingen verkligen läser - att de kan dela användarinformation med polisen och myndigheterna om dessa ber om det. De indikerar också att de kan dela denna information om de själva tycker att det är kommersiellt intressant (läs: det finns pengar att göra). Detta är i grunden en licens för TikTok att göra vad de vill med dina data. Om du inte håller med, synd: du kan inte installera appen.
Standardinställningen för TikTok är "public sharing". Detta gäller för videoklipp som du publicerar (som alla användare runt om i världen kan svara på) samt alla användardata och platsinformation. När du länkar TikTok till appar som Facebook, Instagram och YouTube har TikTok också tillgång till all den användarinformationen. Du kan också använda den här standardinställningen för att chatta direkt med andra användare över hela världen. Det måste vara lugnande för föräldrar att vem som helst kan närma sig sitt barn ...
Vilken information?
Som ett resultat av ovanstående har olika studier genomförts av forskningsgrupper, (etiska) hackergrupper (inklusive Anonymous, Reddit, FireDevs). De studerade TikTok på kodnivå (vilket är vad en sådan app är gjord av) genom så kallad reverse engineering. De kom alla till samma slutsats: TikTok samlar in data från sina användare i stor skala och tar detta längre än någon annan social media-app. Längre än appar som Facebook och Instagram? Ja, mycket, mycket längre.
Jag vill (ännu) inte gå så långt som vissa utredare som hävdar att TikTok i själva verket är ett spionprogram förklädd som en rolig funktion, men du kanske undrar varför en videoapp vill ha all den informationen från mig och det är oklart vad de gör med den. TikTok installerar också en mini-proxyserver på din telefon; ett system från vilket kommunikationen till TikTok körs. TikTok indikerar att de gör detta för att skicka mediefilerna i krypterad form och för att uppnå en viss grad av anonymitet. Bra idé, men du måste kunna lita på att proxyservern är ordentligt säker. Detta har inte varit fallet tidigare. Trots att det verkar ha lösts nu är det oklart exakt vad de kodar och skickar. Förutom mediefilerna, vilken annan information går till TikTok?
En kort sammanfattning av informationen du delar med dem genom TikTok. * Denna information kommer från onlinekällor och stöds av bevis från källorna:
- Insyn i vilken typ av enhet du använder, inklusive alla hårdvaruspecifikationer.
- Insight into what kind of operating system you are using, whether it is original or cracked (jailbreak).
- Insikt i var du befinner dig genom att skicka dina GPS-platsdata var 30: e sekund (heartbleed ping)
- Insikt i var du befinner dig genom platsmärkning i videor.
- Insikt i alla dina användardata från Facebook-, Instagram-, Twitter- och Google-konton om du använder dem som inloggning.
- All nätverksinformation (!) som IP- och MAC-adress, enhetsnamn, Wi-Fi-nätverk (SSID) etc. som du har på din enhet.
- TikTok placerar spårare i din webbläsare som (genom att kombinera din enhet och beteende) ger dig ett unikt och spårbart ID (fingeravtryck).
Dessutom, följande onlineanspråk undersöks fortfarande (de kan inte styrkas ännu, men det gör dem inte mindre oroande) eller hittades i tidigare versioner:
- I tidigare versioner kopierade TikTok ditt urklipp (din klipp-klistra-funktion).
- Det är logiskt att din kamera och mikrofon ska tillåta åtkomst, men det är inte klart när det slutar. Kommer du ihåg den berättelsen om SIRI och ALEXA som kunde lyssna på allt?
- Kopierar de fem senaste tangenttryckningarna; detta skulle kunna ge TikTok inblick i vad du har skrivit eller kommer att skriva på din enhet.
- Appen har dataanalysfunktioner som den delar med TikTok. Innehållet är dock inte synligt (krypterat). Om du stänger av den funktionen fungerar TikTok inte längre.
- Ingen https-kryptering (finns nu) på REST-API:erna, vilket innebär att du med en MiTM-attack öppet kan se de data som skickades.
Ur en teknisk synvinkel tar TikTok emotr en enorm mängd data från din telefon, där det är oklart vad orsaken är och hur de hanterar den säkert. För att sammanfatta allt: Ni tillåter också att detta är potentiellt synligt för hela Kina.
Detta oroar mig, för i vilken utsträckning är användare medvetna om detta?
Jag är (även om jag säger det själv) ganska teknisk, men min 9-åriga systerdotter ser bara en fin app i TikTok. Och hur ser arbetsgivarna på det? Är de medvetna om att deras enheter delar denna information? Skulle du vilja det som arbetsgivare?
En närmare titt
I början av detta år uppgav personuppgiftsmyndigheten att den redan undersöker sekretessfrågor eftersom ungdomar och barn i synnerhet använder appen. I Nederländerna får en app endast behandla data om barn under 16 år om föräldrar har gett sitt tillstånd. Tyska och franska sekretessutredare har redan hört larmet lokalt i början av detta år. Nu pågår också utredningar där, och resultaten kommer troligen att komma efter sommaren. Tyvärr ger TikTok inte användare ett val; om du inte tillåter denna långtgående åtkomst kommer du inte att kunna använda TikTok. Sedan januari 2020 har användningen av TikTok varit föremål för ett allmänt förbud bland amerikansk militärpersonal till följd av deras egna interna utredningar. Slutligen varnar olika organisationer för att vuxna omedvetet och medvetet kan söka direktkontakt med unga användare och att grooming (medvetet bli vän med barn digitalt med avsikt om sexuella övergrepp) kan inträffa. En sidoanteckning är att denna risk inte är mycket större än för andra sociala plattformar, men graden av kontaktbegränsningar är inte som standard på.
Och nu då?
Naturligtvis är en gratis app aldrig riktigt gratis ... när allt kommer omkring betalar du med dina data.
Men TikTok går långt, väldigt långt. Och om du frågar mig för långt.
Enhetsdata och nätverksinformation är inte relevant för TikTok att veta; Jag ser inte behovet av att Kina ska veta vad mina MAC-adresser, IP-adresser och Wi-Fi-data är. Länkarna till alla andra data som samlas in från appar får mig att känna att jag utsätter mig och min miljö för cyberrisker.
Jag kan bara råda alla föräldrar att noga tänka över vilken information ditt barn nu delar (att radera appen direkt är inte en riktigt lösning heller) och i vilken utsträckning deras telefon är ansluten till andra appar och nätverk. Det skulle vara synd om du som förälder försöker ordna allt hemma på ett säkert sätt men känslig information fortfarande läcker ut via t ex din sons telefon. Det verkar uppenbart, men ta en titt på inställningarna i appen på telefonen och begränsa vad som delas med TikTok! Arbetsgivare bör kanske överväga om det vore klokt av en organisation att dyka upp på TikTok. Om du gör det använder du en separat telefon som inte är ansluten till ditt företags nätverk. Better safe than sorry.
Utan tvekan kommer många fler utredningar att komma med ännu mer information under de kommande veckorna. Förhoppningsvis kommer folket på TikTok att inse att detta inte längre är möjligt. Om du vill tjäna pengar, varför inte en betald app?
För mig är en sak tydlig: Jag vill inte ha en app som samlar in så mycket information, är dåligt säkrad och medger öppet att de kommer att dela allt med sin kinesiska regering och företag.
Lyckligtvis är jag inte riktigt en dansmästare ändå.
Källor:
Reddit.com; Developers Tommy Mysk and Talal Haj Bakry; Hacktivist group Anonymous; Wired Magazine, India Ban TikTok; CNBC, U.S. is ‘looking at’ banning TikTok and Chinese social media apps, Pompeo says; JMouders, Wat je moet weten als ouder over TikTok; NOS Tech; The New York Times, TikTok Said to Be Under National Security Review; Snopes, Does TikTok Allow Strangers to Access the Personal Information of Users Who Don’t Share Those Details?; Reuters, TikTok steps up transparency efforts after privacy concerns in United States; The New York Times, Major TikTok Security Flaws Found; Military.com, Army Follows Pentagon Guidance, Bans Chinese-Owned TikTok App; Forbes, TikTok Users Beware: This Is How Hackers Can Send Dangerous Videos To Your iPhone Or Android; Check Point Research, Tik or Tok? Is TikTok secure enough?; Forbes, Anonymous targets TikTok: delete this chinese spyware now