TikTok jako ‘niedopuszczalne zagrożenie bezpieczeństwa’

TikTok jako ‘niedopuszczalne zagrożenie bezpieczeństwa’

 

Brendan Carr, komisarz FCC (Federalnej Komisji Łączności), wezwał prezesów Apple i Google do usunięcia TikTok z ich sklepów z aplikacjami. Dlaczego? TikTok okazał się bowiem poważnym zagrożeniem dla bezpieczeństwa.

 

Co się stało?

W liście z 24 czerwca 2022 roku, Brendar Carr powiedział Timowi Cookowi i Sundarowi Pichai, że “TikTok stanowi niedopuszczalne zagrożenie dla bezpieczeństwa narodowego ze względu na jego rozległe zbieranie danych, połączone z najwyraźniej niekontrolowanym dostępem Pekinu do tych wrażliwych danych.”

 

Carr powiedział również: „Jest również jasne, że wzór postępowania TikTok i fałszywe oświadczenia dotyczące nieskrępowanego dostępu osób w Pekinie do wrażliwych danych amerykańskich użytkowników… stawia platformę poza zgodnością z zasadami, których przestrzegania wymagają obie wasze firmy. W związku z tym proszę, abyście zastosowali w kwestii TikTok zasady obowiązujące w waszych sklepach z aplikacjami i usunęli go z powodu nieprzestrzegania tych warunków”. W dyskusji na Twitterze, Carr wypunktował zagrożenia dla bezpieczeństwa narodowego, jakie stwarza TikTok.

 

Nadmierne gromadzenie danych

 

Mówi się, że TikTok zbiera “wszystko”:

 

• historie wyszukiwania i przeglądania stron;
• wzorce klikania w klawisze;
• identyfikatory biometryczne – w tym próbki twarzy, czegoś, co może być wykorzystane w “niepowiązanej technologii rozpoznawania twarzy”, a także próbki głosu;
• dane lokalizacyjne;
• szkice wiadomości;
• metadane;
• dane przechowywane w schowku, w tym teksty, obrazy i filmy.

 

Carr wskazał kilka konkretnych incydentów stanowiących dowód na to, że TikTok był nieuczciwy w swoich praktykach zbierania danych.

 

Związek z CCP (Komunistyczną Partią Chin)

TikTok opracowała ByteDance, firma z siedzibą w Pekinie. W Chinach jest on znany jako Douyin. Carr wspomniał w swoim liście do Apple i Google, że ByteDance “jest poddana Komunistycznej Partii Chin i zobowiązana przez chińskie prawo do spełniania żądań ChRL dotyczących inwigilacji”. To powinno zaniepokoić sporą część użytkowników serwisu. Członkowie komisji Senatu i Izby, badacze cyberbezpieczeństwa, grupy prywatnościowe i praw obywatelskich zasygnalizowali, że jest to niepokojące. W 2019 roku dwóch senatorów określiło TikTok jako “potencjalne zagrożenie kontrwywiadowcze, którego nie możemy ignorować”. Amerykańska Unia Wolności Obywatelskich (ACLU) jest również zaniepokojona “niejasną” polityką platformy społecznościowej, zwłaszcza w zakresie gromadzenia i wykorzystywania danych biometrycznych.

 

Niejasne wykorzystanie zebranych danych

Zbieranie danych nie jest problemem dla aplikacji, które jasno określają, że to robią i w jaki sposób wykorzystują zdobyte dane. TikTok, jak się okazuje, jest jedną z tych aplikacji, które nie przestrzegają tego zapisu.

 

“Liczne postanowienia polityk Apple App Store i Google Play Store odnoszą się do wzorca praktyk stosowanych przez TikTok w zakresie pozyskiwania ukradkowych danych – wzorca, który jest sprzeczny z jego wielokrotnymi oświadczeniami” – czytamy w liście.

“Na przykład sekcja 5.1.2(i) dotycząca wytycznych Apple App Store stanowi, że twórca aplikacji ‘musi zapewnić dostęp do informacji o tym, jak i gdzie dane [osoby fizycznej] będą wykorzystywane, a dane zebrane z aplikacji mogą być udostępniane stronom trzecim tylko w celu ulepszenia aplikacji lub wyświetlania reklam”. Brak tego typu zapisów, regulacji i stosowania się do odpowiednich zobowiązań niepokoi w kontekście TikToka.

 

Czy TikTok to “wyrafinowane narzędzie do inwigilacji”?

TikTok nie siedział z założonymi rękami, gdy rozeszły się wieści o tym, że FCC wzywa do usunięcia go z głównych sklepów z aplikacjami. Rozmawiając z CNN’s “Reliable Sources”, Michael Beckerman, wieprezes TikTok i doradca ds. polityki technologicznej rządu amerykańskiego, obalił dużą część roszczeń FCC wobec platformy społecznościowej, orzekając, że Carr nie jest ekspertem w takich sprawach i że FCC nie ma jurysdykcji nad bezpieczeństwem narodowym.

 

“On wskazuje na wiele obszarów, które są po prostu nieprawdziwe, w zakresie informacji, które zbieramy i jesteśmy chętni, aby to sprostować”, powiedział Beckerman.

Zapytany o nieścisłości w twierdzeniach Carra, Beckerman odpowiedział: “Wspomina, że zbieramy historię przeglądarki, jakbyśmy śledzili cię w całym internecie. To jest po prostu nieprawda. Jest to coś, co wiele aplikacji mediów społecznościowych robi bez sprawdzania historii przeglądarki w innych aplikacjach. To nie jest coś, co robi TikTok”.

“On mówi o próbkach twarzy – to nie jest coś, co zbieramy” – powiedział, wyjaśniając, że technologia w ich aplikacji nie służy do identyfikacji osób, ale do celów filtrów, takich jak informacje, kiedy nałożyć okulary lub czapkę na twarz/głowę.

 

Jeśli chodzi o wzory klikania w klawisze, Beckerman powiedział: “To nie jest rejestrowanie tego, co wpisujesz. To środek antyfraudowy, który sprawdza rytm sposobu, w jaki ludzie piszą, aby upewnić się, że nie jest to bot lub jakaś inna złośliwa aktywność”.

Na pytanie, czy CCP widziało jakiekolwiek niepubliczne dane użytkowników, powiedział: “Nigdy nie udostępniliśmy informacji chińskiemu rządowi, ani byśmy tego nie zrobili […] Mamy zespoły bezpieczeństwa z siedzibą w USA, które zarządzają dostępem, zarządzają aplikacją i jak wskazały prawdziwe agencje bezpieczeństwa narodowego, takie jak CIA w czasie administracji Trumpa, dane, które są dostępne na TikTok – ponieważ jest to aplikacja rozrywkowa – nie mają znaczenia dla bezpieczeństwa narodowego.”

 

Politycy i obrońcy prywatności od lat krytykują TikTok za potencjalne narażenie danych amerykańskich użytkowników na kontakt z Chinami. Aby rozwiać obawy, TikTok połączył siły z Oracle i zaczął kierować dane swoich amerykańskich użytkowników na serwery znajdujące się w USA. To jednak nie odpowiada na niektóre pytania, które pojawiły się, gdy Buzzfeed News ogłosił historię o tym, że pracownicy TikToka w Chinach “wielokrotnie” uzyskiwali dostęp do danych amerykańskich użytkowników przez co najmniej kilka miesięcy. Takie incydenty miały podobno miejsce od września 2021 roku do stycznia 2022 roku, czyli miesiące przed przekierowaniem danych przez Oracle.

 

Istnieje również zarzut, że jeden z członków działu zaufania i bezpieczeństwa TikTok powiedział na spotkaniu, że “wszystko widać w Chinach”. Dyrektor na innym spotkaniu rzekomo twierdził, że kolega w Chinach jest “Master Adminem”, który “ma dostęp do wszystkiego”.

 

“Chcemy, aby nam ufano” – powiedział Beckerman podczas wywiadu dla CNN. “W tej chwili oczywiście brakuje zaufania w całym Internecie, a dla nas liczy się najwyższe, starając się być jedną z najbardziej zaufanych aplikacji, odpowiadamy na pytania i jesteśmy tak transparentni, jak tylko możemy być”.

 

Ochrona danych to najważniejsze wyzwanie cyberbezpieczeństwa, przed którym stoi każdy z nas. Jak się do tego przygotować, od czego zacząć? Skontaktuj się z nami, a odpowiemy na wszystkie Twoje wątpliwości.

 

Źródło: https://blog.malwarebytes.com/privacy-2/2022/07/tiktok-is-unacceptable-security-risk-and-should-be-removed-from-app-stores-says-fcc/