19 Marzo 2024
Che le origini e le attività di TikTok fossero un po’ fumose è cose abbastanza risaputa ma quel che un utente di Reddit ha annunciato ieri potrebbe farci vedere l’applicazione di tendenza con occhi diversi. L’utente bangorlol ha commentato un post su Reddit in cui si discuteva della sicurezza di TikTok e la cosa strana è che quel commento risale a ben 2 mesi fa, un tempo inspiegabilmente lungo per non suscitare un dibattito serio e che coinvolgesse esperti di cybersecurity. Dalle nostre parti, solo grazie a Twitter, la notizia è giunta solo ieri e i contenuti sono abbastanza allarmanti (sempre se vero tutto ciò che bangorlol ha scritto). Scendiamo nei dettagli.

Un servizio di raccolta dati camuffato da social?

Bangorlol afferma di essere un ingegnere informatico che negli ultimi 15 anni ha trascorso il tempo a effettuare il cosiddetto reverse engineering delle principali applicazioni così da poter verificare il loro funzionamento e, eventualmente, creare uno strumento che sopperisca a eventuali carenze. Un esempio che ci fornisce è il reverse engineering di Twitter, grazie al quale ha scoperto che, mentre l’applicazione per smartphone mostra i tweet in ordine cronologico, il sito web non lo fa e, quindi, ha scritto un’estensione per il browser che riesce a caricare i tweet in ordine cronologico. Or bene, Bangorlol sembra davvero un esperto e le verifiche fatte dal sito Boredpanda.com mostrano che l’account non è recente, quindi non è creato apposta per screditare TikTok gratuitamente. Le sue scoperte, perciò, pur con il beneficio del dubbio, devono essere tenute nella dovuta considerazione e magari sottoposte a una giusta peer review.: TikTok raccoglie informazioni sul tipo di hardware (processore, tipo di dispositivo, dimensioni dello schermo, spazio in memoria, ecc.), sulle altre app installate (persino quelle che bangorlol aveva già rimosso), sulle connessioni in uso (indirizzi IP interni e esterni, indirizzi MAC delle schede di rete, nome della rete Wi-Fi attiva); TikTok rileva anche se il telefono è stato sbloccato (con root o con jailbreak) e in alcune versioni dell’app veniva eseguita una richiesta al GPS ogni 30 secondi – dettaglio che risulterà più importante leggendo ancora. TikTok, inoltre, installa un proxy server locale, apparentemente usato per il precaricamento dei video. Questa scelta sarebbe anche legittima se servisse solo per velocizzare l’esperienza utente ma il problema è che quel server proxy non prevede alcuna forma di autenticazione, quindi secondo bangorlol potrebbe essere usato benissimo da app maligne per portare attacchi ai dispositivi degli utenti di TikTok.

Qualcuno agisce col favore delle tenebre?

L’utente reddit afferma che la parte più spaventosa è che tutta questa raccolta dati è configurata da remoto e che l’applicazione è concepita per impedire di capire come funziona “dietro le quinte” poiché gli sviluppatori hanno persino realizzato una versione personalizzata di una libreria per l’offuscamento del codice sorgente. Altre protezioni del genere sono applicate a TikTok: se l’app capisce che si sta tentando di capire il suo funzionamento, riesce a modificare il proprio comportamento, tanto che nella versione Android è prevista la possibilità di scaricare un file zip da un server, decomprimerlo e eseguire il file binario al suo interno (presumibilmente una versione modificata dell’applicazione).

There is zero reason a mobile app would need this functionality legitimately.

Per bangorlol non esiste alcun motivo perché un app per smartphone debba possedere legittimamente questa funzione, anche perché non usava connessioni HTTPS e le interfacce di programmazione (HTTP REST API) fino a qualche mese fa consentivano di leggere l’indirizzo e-mail dell’utente, l’indirizzo e-mail secondario, la data di nascita, il nome reale e quant’altro fosse a disposizione.

Un vasetto di miele per socialdipendenti e presunti pedofili?

TikTok sembra concepita come il vasetto di miele messo in mezzo al bosco per attirare un orso in una trappola: il primo post che si pubblica su TikTok riceverà sempre un numero enorme di like, a prescindere dalla qualità del video e dalla notorietà, al solo scopo di invogliare l’utente a restare nell’app e usarla ancora e ancora e ancora, così da poter continuare la raccolta di dati (come la posizione GPS di cui sopra). E come se non bastasse, la piattaforma non impedisce che ragazzine di 8/10 anni possano fare “duetti” su canzoni sessualmente esplicite con uomini ben più grandi. In conclusione. Bangorlol conclude tirando le somme delle sue scoperte e, molto lapidariamente, afferma che semplicemente TikTok non desidera che si scoprano le informazioni che raccoglie sul tuo conto, al punto che crittografano tutte le richieste provenienti dal loro strumento di analisi remoto con un algoritmo che cambia da versione a versione (o anche con chiavi crittografiche diverse da versione e versione); non solo: se si tenta di bloccare quelle richieste al livello dei DNS, l’applicazione smette di funzionare del tutto, infischiandosene del reale scopo del servizio. Secondo Bangorlol, nessuna delle app di Facebook, Instagram, Reddit e Twitter agiscono in maniera così oscura e, soprattutto, non raccolgono una simile quantità di informazioni sull’utente. A questo punto resta da vedere cosa succederà da domani, visto che il servizio di TikTok dovrebbe essere erogato dalla sussidiaria irlandese di ByteDance (la società proprietaria di TikTok) all’interno dello Spazio Economico Europeo e, quindi, soggetta all’applicazione del GDPR. Fonte: https://www.boredpanda.com/tik-tok-reverse-engineered-data-information-collecting Altre ricerche su TikTok:
  • https://blog.zimperium.com/zimperium-analyzes-tiktoks-security-and-privacy-risks/
  • https://penetrum.com/research
 

About Author