Perhatian kepada warga TikTok, adakah privasi anda dilindungi dengan bagus?
Hasil Eksperimen Lelaki Ini Bongkar Aktiviti Pengintipan Data Aplikasi TikTok. Beberapa hari lepas, seorang pengguna Twitter @d1rtydan bongkarkan beberapa perkara mengenai aplikasi TikTok.
Menurut penjelasan beliau, seorang pengguna laman web Reddit (laman untuk perbincangan) berjaya reverse engineered TikTok dan mendapati aplikasi tersebut merupakan sebuah perkhidmatan pengumpulan data yang menyamar aplikasi media sosial.
Sebelum lanjut, what is reverse engineering?
Kejuruteraan balikan atau dalam bahasa Inggeris, reverse engineering, merupakan proses mencari prinsip-prinsip teknologi pekakasan atau objek atau sistem melalui analisa terhadap strukturnya, fungsinya, dan operasinya.
Ia melibatkan pengambilan sesuatu seperti perkakasan mekanikal, komponen elektrik atau aturcara perisian, secara berasingan dan dianalisa cara kerjanya secara terperinci. Perkara ini selalunya cuba untuk menghasilkan pekakasan atau perisian baru yang mempunyai fungsi yang sama tanpa menyalin keseluruhan daripada yang asal.
Hasil daripada reverse engineering TikTok
Berhubung kepada hasil yang didapati dari reverse engineering TikTok, lelaki ini mendapati TikTok merupakan sebuah perkhidmatan pengumpulan data yang menyamar sebagai aplikasi media sosial. Sekiranya ada API untuk memperoleh maklumat tentang anda, kontak anda atau peranti anda, TikTok sedang menggunakan API tersebut.
- Perkakasan telefon bimbit (jenis CPU, number of course, perkakasan IDS, dimensi skrin, penggunaan memory, ruang disk dll.)
- Aplikasi lain yang anda telah muat turun (beliau berkata beliau terlihat aplikasi yang sudah dibuang muncul di analytics payload – mungkin diguna sebagai cached value?
- Apa-apa sahaja berkaitan rangkaian (IP, IP tempatan, penghala, laptop anda, nama pusat akses wifi)
- Sama ada rooted/jailbroken
- beberapa varian aplikasi telah menghidupkan ping GPS pada masa itu, kira-kira sekali setiap 30 saat – ini diaktifkan secara lalai jika anda pernah location-tagged a post IIRC
- mereka menyediakan pelayan proksi tempatan pada peranti anda untuk ‘transcoding media‘ tetapi itu boleh disalahgunakan dengan mudah kerana tidak mempunyai pengesahan sifar
Beliau kemudian berkata bahagian paling menakutkan dari semua ini adalah bahawa kebanyakan logging yang mereka lakukan dapat dikonfigurasi dari jarak jauh, dan melainkan jika anda membalikkan setiap perpustakaan asli mereka dan memeriksa secara manual setiap fungsi yang dikaburkan.
Mereka mempunyai beberapa perlindungan yang berbeza untuk mencegah anda membalikkan atau men-debug aplikasi juga. Tingkah laku aplikasi berubah sedikit jika mereka tahu anda cuba mengetahui apa yang mereka lakukan.
Terdapat juga beberapa potongan kod pada versi Android yang memungkinkan untuk memuat turun fail zip remote, melepaskannya, dan melaksanakan binari tersebut. Tidak ada sebab aplikasi mudah alih memerlukan fungsi ini secara sah.
Tambahnya lagi, mereka tidak menggunakan HTTPS untuk masa yang paling lama. Mereka membocorkan alamat e-mel pengguna di HTTP REST API mereka, serta e-mel sekunder mereka yang digunakan untuk menetapkan semula kata laluan.
Jangan lupa juga nama sebenar dan ulang tahun pengguna. Semuanya dapat dilihat secara terbuka beberapa bulan yang lalu jika anda ‘MITM‘ aplikasi tersebut.
Akses kepada pedofil
Mereka memberi pengguna rasa ‘virality‘ untuk menarik mereka untuk terus berada di platform. Video TikTok pertama anda mungkin akan mendapat banyak likes, tidak kira betapa baiknya. Dengan andaian anda melepasi barisan penyederhanaan awal jika masih menjadi perkara.
Terdapat juga banyak lelaki tua yang menyeramkan yang mempunyai akses langsung kepada kanak-kanak di aplikasi dan beliau secara peribadi telah melihat (dan melaporkan) beberapa perkara yang sangat mencurigakan. Lelaki berusia 40 – 50 tahun mendapatkan gadis berusia 8 – 10 tahun untuk melakukan ‘duet’ dengan mereka dengan lagu-lagu yang menjurus ke arah seksual. Video tersebut disiarkan secara terbuka.
TikTok juga mempunyai fungsi pesanan langsung.
Katanya lagi, mereka tidak mahu anda mengetahui berapa banyak maklumat yang mereka kumpulkan mengenai anda, dan kesan keselamatan semua data di satu tempat sangat besar. Mereka menyulitkan semua permintaan analisis dengan algoritma yang mengubah setiap kemas kini (sekurang-kurangnya kunci berubah) agar anda tidak dapat melihat apa yang mereka lakukan. Mereka juga membuatnya sehingga anda tidak dapat menggunakan aplikasi sama sekali jika anda menyekat komunikasi ke host analitik mereka di tingkat DNS.
Beliau juga telah membalikkan aplikasi Instagram, Facebook, Reddit, dan Twitter. Mereka tidak mengumpulkan data di mana jumlah data yang sama seperti yang dilakukan TikTok, dan mereka pasti tidak berusaha untuk menyembunyikan apa yang dihantar seperti TikTok.
Ini seperti membandingkan secawan air dengan lautan – mereka tidak membandingkannya.
Apakah pendapat anda tentang ini?
Anda boleh baca lagi discussion dengan lebih lanjut DI SINI.