TikTok. Шпион или прорыв года
После того, как в Индии запретили TikTok, аргументируя тем, что приложение не защищает данные пользователей, тема TikTok-а и конфиденциальной информации начала набирать обороты. Громким было обсуждение на портале Reddit, где некий хакер-любитель, под ником Bangorlol, разобрал и рассказал как же все-таки работает приложение TikTok. Заявление прозвучало резко.
«TikTok – сервис сбора данных, маскирующимся под социальную сеть»
Bangorlol утверждает, что TikTok собирает:
- Имена (настоящие), адреса, пароли, телефоны, даты рождения.
- Информацию о других приложениях на телефоне, включая удаленные приложения.
- Информацию об использовании интернет активности.
- Местонахождение (обновляет каждые 30 секунд).
Помимо этого, сообщается, что в версии для Android есть фрагменты кода, которые позволяют загрузить с удаленного сервера файл на устройство пользователя.
«Ни одно мобильное приложение не нуждается в таком функционале», – написал в посте Bangorlol.
Кстати, это не единственная новость, ставящая под сомнение работу Tiktok. В исследования Talal Haj Bakry и Tommy Mysk пару месяцев назад TikTok попал в 54 приложения для iOS, которые отслеживали конфиденциальные данные в Pasteboard, куда могли попасть пароли, криптокошельки, номера кредиток, адреса и личные сообщения. В Apple девайсах в Pasteboard данные попадают при копипастите текста, или в процессе drag and drop. После публикации исследования TikTok утверждал, что уже исправил проблему.
Тем не менее, в последнем докладе Arstechnica говорится о том, что TikTok продолжает доступ к наиболее важным данным пользователей Apple и во многих случаях тайное чтение не ограничивается данными, хранящимся локально на устройстве. Iphone и Мac на одном Apple ID используют universal clipboard, поэтому содержимое устройство на "рабочем компьютере" может быть скопировано на телефон, где установлен TikTok и уже дальше у приложения нет преград для считывания информации.
Право на декомпиляцию
Каждый ли программист может безнаказанно хайпануть как Bangorlol, перевернуть внутренности приложения и выложить в паблик?
В офисе юристов Icon.Partners возник спор насчет законности декомпилирования приложения.
Условия использования TikTok запрещают декомпиляцию.
Вы [пользователь] не можете: делать несанкционированные копии, изменять, адаптировать, переводить, перепроектировать, декомпилировать или создавать любые производные продукты на основе наших услуг или любые материалы, включая любые файлы, таблицы или документацию, а также пытаться восстановить исходный код, алгоритмы, методы или техники, используемые в наших услугах или производных от них.
Понимаем, что в правилах пользования можно написать что угодно.
**Минутка юмора**
Вспоминается серия South Park про человеческую многоножку.
Обратимся к законодательству
Данные сейчас сильнее всего защищают в Евросозе, где действует GDPR. Применимое право приложения TikTok для жителей EC – Сингапура. Согласно статье 39А Singapore Copyright Act декомпилировать код можно, но в ограниченных целях. Если коротко, то посмотреть как работает приложение можно, но декомпилировать код с целью критики и выкладывания в паблик кусков кода, исходя из буквы закона, запрещено.
Потенциально Bangorlol может получить судебный иск от TikTok (если личность установят).
**Еще минутка юмора**
TikTok же скорее всего уже получил данные о программисте через приложение и установил личность.
Существует много различных мнений и законодательных актов по поводу возможности и правомерности декомпиляции. Позиция украинского и российского законодательства близка к Сингапурской. Условия пользования или публичный договор спасают от исков.
IT и онлайн бизнес требует правильного юридического оформления.
Юристы создают документы так, что сервис защищен со всех сторон (в том числе от декомпиляции).
Еще не знаем, какие шаги со стороны TikTokа будут предприняты к хакеру, но термзы приложения позволяют добиться справедливости и наказать нарушителя. Если конечно справедливость в этом есть.
Кстати, недавно мы писали в инстаграме как New York Times исследовали соглашения компаний, и, оказалось, что в среднем человеку нужно 250 часов, чтобы прочитать все соглашения сервисов, которыми он ежедневно пользуется. Правда не факт, что после прочтения пользователь поймет хоть половину текста. Речь о Instagram, Facebook, Reddit, Twitter.
Instagram, Facebook, Reddit, Twitter
Bangorlol проверил, что творится у перечисленных компаний. Заявил, что приложения не собирают столько данных, как TikTok, и не скрывают, какие данные собирают и обрабатывают. Перечисленные сервисы, кроме TikTok – made in USA. Это частные американские компаниями, которые в случае нарушений будут отвечать перед государством и могут быть подвергнуты жестким санкциям в США. TikTok – made in China, и приложению не раз приписывали связь с властями Китая. К слову, американским военнослужащим запрещено устанавливать это приложение на свои устройства под угрозой увольнения со службы (но это уже политика, мы туда не хотим, так как тяжело отличить правду от лжи).
TikTok
- доступен на более чем 150 рынках на 39 языках;
- более одного миллиарда ежемесячно активных пользователей.
Вывод
Автор статьи, консультант Icon.Partners – Слава Устименко удалил TikTok.
Автор статьи, юрист Icon.Partners – Белла Фарзалиева не удалила TikTok.
Поправьте меня, но мне кажется тикток стоит у того у кого и тырить нечего. У школьников. По моим наблюдениям. Их айфоны и так насквозь в дырах. Тк не парятся ваще за безпеку.
Комментарий недоступен
Неужели в 2020 есть люди, которые еще не понимают важности приватности и ценности персональных данных?
Установите тогда вебку у себя в ванной. Вам же "нечего скрывать".
Автор, ты в реках
Сначала пара слов об оформлении. Статья написана ужасно, с кучей пунктуационных ошибок, неуместными англицизмами и несогласованностью частей предложения.
Теперь по сути:
"Перечисленные сервисы, кроме TikTok – made in USA. Это частные американские компаниями, которые в случае нарушений будут отвечать перед государством и могут быть подвергнуты жестким санкциям в США" - да-да да... То-то что ни квартал, то очередной скандал с персданными у ФБ. Вот только намедни очередной случился.
У меня прямо флешбек к моменту, когда наши светлоликие катались в корчах, крича, что антивирус Касперского сделан в подвалах КГБ.
Ну и как?
Прогресс не остановить запретами. Сделайте что-то похожее на ТикТок (Теслу, Северный Поток-2, Windows, Telegram, Apple, подставить по вкусу), а не запрещайте.
Но Windows же не разрабатывали основываясь на незаконно собранные персональные данные.
Государство (любое) должно беспокоится о (как минимум своих) гражданах.
Даже если мы не будем лично использовать TikTok, то наши данные туда могут попасть в процессе переписки с тем, у кого есть приложение.
Это нарушает конституционные права.
Отказ от использования не гарантирует сохранность данных.
Разве это рациональный подход "двигателей прогресса"?