Новости
TikTok заподозрили в шпионаже
Ещё в марте разработчики TikTok обещали исправить ситуацию, но с выходом тестовой версии iOS 14 стало очевидно, что ситуация не изменилась.
В марте этого года исследователи обнаружили, что 53 приложения для iOS, в том числе TikTok, имеют доступ к конфиденциальным пользовательским данным, пишет 3DNews. Несмотря на то, что разработчики TikTok обещали прекратить эту практику, с тех пор ничего не изменилось.
Эти приложения имеют доступ к буферу обмена и регулярно обращаются к нему, а значит, могут использоваться для кражи конфиденциальных данных, в том числе копируемых паролей и другой важной информации. Это обнаружили исследователи Талал Хай Бакри и Томми Миск, которые отметили, что приложения регулярно обращаются к буферу обмена, несмотря на то, что это не требуется для обеспечения их функционирования.
Информация об этом появилась в марте, но вновь тема всплыла после выхода тестовой версии iOS 14, в которой реализована функция вывода уведомлений, появляющихся каждый раз, когда какое-либо приложение получает доступ к буферу обмена. Когда к тестированию программной платформы присоединилось достаточно много людей, они увидели, что большое количество приложений регулярно читают буфер обмена.
Ещё в марте разработчики TikTok обещали исправить ситуацию, но с выходом тестовой версии iOS 14 стало очевидно, что ситуация не изменилась. Более того, сейчас энтузиасты, проводившие реверс-инжиниринг данного развлекательного приложения, сделали вывод, что оно больше похоже на «службу сбора персональных данных, замаскированную под социальную сеть». В результате проведённого исследования выяснилось, что приложение TikTok собирает, хранит и обрабатывает информацию о аппаратном обеспечении смартфона (тип процессора, идентификаторы оборудования, размеры и разрешение экрана, использование памяти, дисковое пространство и т. д.), других приложениях, которые устанавливал пользователь (даже о тех, что удалены), всём, что связано с сетью (ip, локальный ip, mac-адреса маршрутизатора и смартфона, название точки доступа Wi-Fi), данных GPS (примерно раз в 30 секунд) и других.
Приложение также настраивает локальный прокси-сервер на мобильном устройстве для «транскодирования медиа», чем можно очень легко злоупотреблять, так как он по сути не имеет аутентификации. Ещё более тревожным, согласно проведённому анализу, было то, что сбор информации на устройстве управляется удаленно, что делает реверс-инжиниринг более трудным.