Prístup platformy TikTok k súkromiu a bezpečnosti

11. júna 2020

S rozvojom informačných a komunikačných technológií a ich používaním na bežné ľudské činnosti narastajú aj obavy o základné ľudské právo – súkromie. Vzhľadom na vývoj situácie môžeme konštatovať, že spôsoby zneužitia súkromných dát sa stávajú čoraz rozmanitejšími. Platobné karty podnikateľov je možné zneužiť na presuny veľkých súm peňazí, čím útočníci obídu automatizované kontroly bankových prevodov.

Súkromné dáta sa dajú predať tretím stranám (napr. na spearphishing a vydieranie) a informácie o vašom správaní v kybernetickom priestore môžu byť zneužité na adresnú politickú kampaň financovanú škodlivými aktérmi, ktorej cieľom môže byť aj destabilizácia demokratického systému. Dôvernosť informácií je v centre pozornosti aj vďaka medializovanému vypočúvaniu zástupcov sociálnych sietí Kongresom USA.

Centrom kontroverzie sa popri najpopulárnejších sociálnych sieťach facebook a twitter stala aj čínska sociálna sieť TikTok a tento článok vám priblíži prečo. Poukáže na to, aké informácie sociálna sieť TikTok zbiera, či je súkromie používateľov zachované a rešpektované a predovšetkým, či sociálna sieť TikTok rešpektuje zákony na ochranu súkromia. Na záver uvádzame súhrn odporúčaní pre bezpečné správanie sa v prostredí sociálnych sietí a pri používaní mobilných aplikácií.

TikTok ako sociálna sieť

Globálne dostupná aplikácia na zdieľanie krátkych videí TikTok sa za krátku dobu stala sociálnym fenoménom (zastúpenie vo viac než 150 štátoch a 75 jazykových mutácií)[1].

Aplikácia vznikla v novembri 2017 a v auguste 2018 prebehla fúzia s aplikáciou Musical.ly (používatelia aj obsah Musical.ly sa stali súčasťou TikTok a jeden zo zakladateľov Musical.ly – Alex Zhou sa stal viceprezidentom TikTok), ktorá fungovala od augusta 2014[2].

TikTok je vyvinutý a v súčasnosti aj vlastnený pekingskou firmou ByteDance[3] a základom jeho fungovania je zdieľanie videí s trvaním do 15 sekúnd alebo dlhších príbehových videí do 60 sekúnd. Aplikácia je pre používateľov sociálnych sietí veľmi prehľadná a jednoduchá na používanie.

Všetky videá je možné po natočení modifikovať prostredníctvom rôznych grafických alebo hudobných efektov a filtrov. Práve jednoduchosť používania a popularita tejto formy rýchlo a jednoducho pochopiteľného obsahu podporila vznik mnohých extrémnych a často nebezpečných výziev (často nebezpečné aktivity, ktoré užívatelia následne zdieľajú na platforme)[4], ale aj mladých úspešných názorových opinion lídrov (mienkotvornych osôb) (eng. opinion leader) a influencerov. V súčasnosti je TikTok považovaný za dobrý marketingový nástroj s vysokým počtom používateľov.

V Číne TikTok funguje pod názvom Douyin. Servery sa nachádzajú v každom štáte, kde je TikTok dostupný, avšak verzia v Číne, ktorá pokrýva 60 % všetkých používateľov TikTok[5], je od ostatných serverov oddelená na to, aby bola dodržiavaná čínska cenzúra internetu. Aplikácia je populárna hlavne v demografickej skupine teenagerov (16 – 24 rokov), ktorí tvoria 69 % jej používateľskej základne[6].

V prvej štvrtine r. 2019 bol TikTok najviac inštalovanou aplikáciou na svete a v súčasnosti má viac než 800 miliónov aktívnych používateľov mesačne². Priemerný denný čas, ktorý používatelia trávia na TikTok je 52 minút a otvárajú ho priemerne 8-krát denne[7].

Kybernetická bezpečnosť TikToku

Jedno zo základných javov v oblasti kybernetickej bezpečnosti sociálnych sietí a aplikácií je, že čím viac majú používateľov, tým sú atraktívnejšie pre kybernetických útočníkov. Aplikácia TikTok nie je výnimkou a v prípade odhalenia kybernetického bezpečnostného incidentu alebo zraniteľnosti je možné na ich nahlásenie využiť formulár zverejnený na webstránke aplikácie v časti súkromie a bezpečnosť. V prípade odhalenia závažnej zraniteľnosti tvorcovia TikTok sľubujú aj odmenu, avšak tá nie je bližšie špecifikovaná[8].

Ku dňu 25.05.2020 boli zverejnené a zaregistrované nasledovné zraniteľnosti s prideleným identifikátorom CVE:

Zraniteľnosť Musical.ly pod označením CVE-2017-13101[9]. Táto zraniteľnosť strednej závažnosti (CVSS 7.5) v aplikácii pre iOS spočívala v existencii zabudovaného šifrovacieho kľúča a umožňovala odšifrovať dáta hocikomu, kto získal ku kľúču prístup.
Zraniteľnosť TikTok pod označením CVE-2019-14319[10]. Táto zraniteľnosť strednej závažnosti (CVSS 6.5) bola v oboch aplikáciách – pre iOS aj pre Android. Aplikácie nemali zašifrovaný presun obrázkov videí a lajkov (označení páči sa mi), čo umožňovalo útočníkovi, prostredníctvom sledovania sieťovej prevádzky vykonávať extrakciu osobných a iných citlivých údajov (zraniteľnosť popísaná a testovaná inými bezpečnostnými výskumníkmi nižšie (13. 04. 2020).

Okrem oficiálne registrovaných zraniteľností pod označením CVE boli bezpečnostnými výskumníkmi odhalené a zverejnené ďalšie závažné bezpečnostné zraniteľnosti:

01.2020 bezpečnostná firma Checkpoint zverejnila bezpečnostný výskum[11] aplikácie TikTok a odhalila zraniteľnosť typu SMS spoofing. Zraniteľnosť umožňuje zaslať SMS správu, ktorá bude v zariadení prijímateľa zobrazená ako odoslaná priamo od organizácie vlastniacej TikTok. Zraniteľnosť by sa dala použiť na ďalšie útoky, pri ktorých útočník potrebuje, aby obeť klikla na URL adresu, napr. phishingové kampane.

Využitím ďalších, vážnejších zraniteľností zverejnených v tomto výskume by útočník mohol prevziať kontrolu nad cudzím TikTok účtom a manipulovať ich obsah, mazať videá, nahrávať videá, zverejňovať súkromné videá a odhaliť aj osobné a iné citlivé údaje/dáta, ktoré boli na účte uložené, napr. súkromnú emailovú adresu.

Všetky vyššie uvedené zraniteľnosti a ďalšie, ktoré sa týkali priamo webstránok TikTok boli organizáciou Checkpoint nahlásené a firma TikTok ich vyriešila.

03.2020 bezpečnostný výskumníci Tommy Mysk a Talal Haj Bakry odhalili podozrivú aktivitu[12] viacerých aplikácií na iOS, iPadOS a macOS. Podozrivá aktivita spočívala v zbere údajov uložených do clipboardu (control+c). Zraniteľnosť je podmienená zapnutou aplikáciou, ktorej stačí fungovať v minimalizovanom móde a jej možné zneužitie je alarmujúce. Aplikácie sa tak dokážu dostať nie len ku všetkým heslám kopírovaným z bezpečnostných aplikácií, ale aj ku aktuálnej polohe zariadenia, ktorá je súčasťou interných informácií kopírovaných fotografií. Na túto aktivitu nie je v iOS nutné povolenie a nie je známe, kam sa potom kopírované dáta dostanú. Po odovzdaní informácií o podozrivej aktivite firme Apple, spoločnosť vyhlásila, že „nevidí žiadny problém v predmetnej zraniteľnosti“, tzn. podozrivá funkcionalita nebola opravená.

Medzi aplikácie, ktoré robili túto aktivitu patria žurnalistické aplikácie, napr.: Al Jazeera, Fox News, New York Times, Reuters, hry: Fruit Ninja, Plants vs. Zombies Heroes, PUBG Mobile a zo sociálnych sietí okrem TikTok aj Viber a Weibo,

04.2020 bezpečnostní výskumníci Tommy Mysk a Talal Haj Bakry zverejnili, že väčšina obsahu aplikácie TikTok je na servery odosielaná prostredníctvom nezašifrovaného HTTP[13]. Napriek tomu, že tento proces je o niečo rýchlejší než šifrované HTTPS, analýza odhalila, že TikTok cez HTTP presúva videá, profilové fotografie aj vzorky videí (preview). Tento nešifrovaný prenos dát umožňuje bez problémov zbierať tieto dáta vlastníkom verejných WIFI, internetovým poskytovateľom aj spravodajským agentúram. Aplikáciu to robí zraniteľnou aj voči MITM útokom (man-in-the-middle), ktoré by umožnili vymeniť video alebo obrázok uploadovaný z populárneho TikTok účtu za úplne iné video. Útočník by tak obeti mohol podvrhnúť škodlivý obsah, ktorý by sa javil ako vierohodný.

Na tento útok by útočník musel mať prístup na router, do ktorého je používateľ pripojený. Takýto prístup majú napr.: operátori verejných WIFI, poskytovatelia VPN služieb, poskytovatelia internetu a v niektorých štátoch aj vlády a spravodajské agentúry¹³.

Aplikácia TikTok pre Android obsahuje 39 open source knižníc, na porovnanie aplikácia pre iOS ich obsahuje 20[14]. Analýza knižníc odhalila, že všetky knižnice, ktoré aplikácia TikTok používa majú vydané bezpečnostné aktualizácie. Bez hlbšej a invazívnej analýzy však nie je možné determinovať, aké verzie týchto knižníc aplikácia TikTok používa, resp. či majú používané knižnice nainštalované bezpečnostné záplaty.

Rovnako ako pri iných aplikáciách nie je možné vylúčiť ani objavenie novej 0-day zraniteľnosti a ak by sa zraniteľná knižnica v aplikácii nachádzala, stále nie je isté, či by boli splnené všetky podmienky pre jej zneužitie.

Súkromie a bezpečnosť používateľských dát v Číne

Po schválení a zavedení kryptografického zákona je v Číne zakázané šifrovanie dát a v prípade šifrovania sú podnikatelia nútení poskytnúť šifrovacie kľúče. Cieľom aktivity je poskytnutie prístupu čínskej komunisticej vlády ku všetkým dátam zahraničných firiem podnikajúcich na území Číny.

Takto získané údaje môžu následne čínski predstavitelia (spravodajské služby a armáda) zdieľať so štátnymi firmami, a tak nad zahraničnými firmami obchodujúcimi na území Číny získajú kompetitívnu výhodu. Poskytovanie informácií bolo do vydania kryptografického zákona na vyžiadanie, avšak v súčasnosti čínska vláda získava dáta zo serverov invazívnym spôsobom – požaduje do ukladaných dát priamy prístup a obchodné tajomstvo nie je rešpektované[15].

TikTok a zber používateľských dát

Spoločnosť na svojej webstránke v sekcii ochrana osobných údajov[16] udáva, že automaticky zbiera nasledovné dáta:

IP adresu
dáta o lokácii
- informácie o lokácií vrátane lokačných informácií na základe simkarty/IP dresy,
- GPS súradnice s povolením od používateľa.
informácie o zariadení:
- model zariadenia,
- poskytovateľ telekomunikačných služieb,
- nastavenie času,
- operačný systém,
- názvy aplikácií, súborov a ich typy,
- vzory a rytmy písania,
metadáta
históriu navštívených stránok
históriu vyhľadávania
cookies.

Spoločnosť deklaruje, že informácie využíva na množstvo účelov, medzi ktoré patrí napr.:

cielená reklama
použitie obsahu používateľov na marketing platformy
dedukciu ďalších informácií:
- vek,
- pohlavie,
- záujmy.
detekcie obťažovania, podvodov a ilegálnych aktivít
ostatné účely, o ktorých bude v danú dobu používateľ notifikovaný

V prvej časti o zdieľaní dát spoločnosť informuje, že nepredáva osobné informácie tretím stranám. Zdieľa ich však s poskytovateľmi služieb a so svojimi partnermi. Informácie môže zdieľať s materskou spoločnosťou, dcérskou spoločnosťou alebo inou pridruženou spoločnosťou ich firemnej skupiny. V prípade významnejších problémov spoločnosť informácie zdieľa v súvislosti s „významnými podnikovými transakciami“, napr. predaj webovej stránky, fúzia, predaj majetku alebo v prípade bankrotu.

TikTok a americký Kongres

Kongres v USA inicioval 2 pokusy o stretnutie so zástupcami organizácie TikTok a Apple pre potenciálnu spoluprácu s Čínskou komunistickou stranou (pozn. Apple presunula čínsky server iCloud do Číny priamo do správy čínskej regionálne vlády[17].

V minulosti sa spoločnosť Apple podvolila tlaku čínskej komunistickej vlády, napr. cenzurovaním taiwanskej vlajky v Hongkongu a zákazom (banom) aplikácie na sledovanie aktivít polície počas tamojších protestov[18]. Spoločnosť Apple v Číne od júla 2018 na žiadosť Číny zablokovala stovky ďalších aplikácií[19]).

Prvé stretnutie bolo v novembri 2019 a obe organizácie – Apple aj TikTok odmietli poslať svojich zástupcov. Po prvom stretnutí TikTok oficiálne oznámil, že bude spolupracovať, avšak na druhé stretnutie v marci 2020 sa jeho zástupcovia opätovne nedostavili[20].

TikTok bol na novembrovom stretnutí²⁰ obvinený zo zbierania súkromných informácií amerických občanov, a to aj takých, ktoré nie sú dôležité pre chod aplikácie, napr. súkromné správy (viď. kapitola TikTok a zber používateľských dát). Josh Hawley, ktorý stretnutie kongresu viedol, načrtol súvislosť medzi systémom rozoznávania tváre, ktorý je v Číne používaný na systém sociálneho hodnotenia a aktivitou Číny zbierať dáta na vylepšenie tohto softvéru.

Ďalej spomenul možnosť zneužitia tohto softvéru na vojenské účely a informáciu, že členovia vedenia spoločnosti ByteDance sú členmi Čínskej komunistickej strany. Odmietnutie účasti oboch spoločností na vypočúvaní kongresu Hawley popísal ako „znepokojivé“ a „tajnostkárske“.[21] Spoločnosť Apple odmietla obvinenia Kongresu komentovať.

Spoločnosť TikTok bezpečnostné obavy o súkromie zo strany kongresu USA komentovala verejne[22] 24. októbra 2019 prostredníctvom svojej webstránky. CEO TikToku na nej deklaroval, že všetky používateľské dáta TikToku sú uložené úplne mimo Číny, resp. nespadajú pod čínske právo („používateľské dáta sú ukladané v Spojených štátoch a zálohované v Singapure“).

Dodal, že obsah TikTok nie je upravovaný podľa čínskych zákonov, nikdy o to neboli čínskou vládou žiadaní a neurobili by to ani keby boli. Explicitne sa vyjadril, že spoločnosť nie je ovplyvňovaná žiadnou vládou, ani čínskou a neplánujú to v budúcnosti meniť. Spoločnosť deklaruje, že o kybernetickú bezpečnosť aplikácií sa stará dedikovaný technický tím²¹.

Spoločnosť ByteDance mala v minulosti preukázateľnú spoluprácu s Čínskou komunistickou stranou. CEO – Zhang Yiming sa v decembri 2017 v mene spoločnosti ByteDance ospravedlnil za „politické zločiny“ vlajkovej aplikácie Jinri Toutiao, ktorá slúžila na personalizáciu zdrojov správ (news feed)[23].

Aplikácia údajne zdieľala zbytočné informácie, klamlivé zdravotné informácie, prehnané reklamy. V decembri CAC (Cyber Administration of China) prikázala suspendovanie tejto aplikácie za cirkulovanie „pornografických a vulgárnych informácií“ a v apríli 2018 bola zasiahnutá aj aplikácia Douyin (čínska verzia TikTok) pre „kompletné systémové vylepšenie,“ „údržbu servera“ a „systémové aktualizácie.“ Nie je možné vylúčiť, že v tomto prípade nešlo o pokus o cenzúru[24].

Identifikované riziká

Vzhľadom na vyššie uvedené fakty, je možné konštatovať, že aplikácia TikTok predstavuje bezpečnostné riziko, a to majoritne kvôli tomu, že:

spoločnosť ByteDance vlastniaca TikTok je čínska, a preto spadá pod čínske právo a má históriu spolupráce s Čínskou komunistickou stranou.
v obchodných podmienkach v časti „ochrana osobných údajov“ spoločnosť TikTok explicitne uvádza, že zdieľa informácie o používateľoch s materskou spoločnosťou (ByteDance).
TikTok zbiera veľké množstvo dát a to aj takých, ktoré by nepotreboval na vlastnú funkcionalitu (behaviorálne informácie získané používaním aplikácie, kontaktné údaje, lokalizačné údaje, informácie z iných sociálnych sietí, súkromné správy odosielané cez TikTok, telefónny zoznam, zoznam súborov a aplikácií, ktoré sú nainštalované v zariadení a iné).
americký Kongres vyjadril podozrenie zo zneužívania dát zbieraných zo „západu“ na vojenské účely a na zlepšenie systému na rozpoznanie tváre používaného čínskou komunistickou vládou (na systém sociálneho hodnotenia).

Je možné s úplnou istotou konštatovať, že všetky súkromné dáta, ktoré sú v aplikácii TikTok zbierané (obzvlášť súkromných videí používateľov, osobných údajov, telefónnych čísiel a lokalizačných údajov) sú dané k dispozícii vládnej Čínskej komunistickej strane na požiadanie alebo ihneď (ak majú už zabezpečené prístupy ako v prípade firmy Apple). K podobným záverom prišiel aj americký Kongres, ktorý už zorganizoval k téme dve stretnutia (v novembri 2019 a v marci 2020), avšak zástupcovia organizácie TikTok sa nezúčastnili.

Odporúčania

Na základe vyššie uvedených informácií Národné centrum kybernetickej bezpečnosti SK-CERT (NCKB SK-CERT) všeobecne odporúča:

v online komunikácii dodržiavať všetky pravidlá kybernetickej hygieny.
dôkladne čítať, aké povolenia si aplikácia vyžaduje a zodpovedať si nasledovné otázky:
- sú v zariadení citlivé údaje, ktoré nechcem, aby mal výrobca aplikácie k dispozícii?
- potrebuje aplikácia tieto prístupy na svoju bežnú funkciu?
- má aplikácia alternatívu, ktorá si nevyžaduje takéto povolenia na jej fungovanie?
do doby, kým nedôjde k úprave podmienok ochrany osobných údajov a k transparentnej reakcii TikTok na obvinenia, aplikáciu odporúčame odstrániť zo zariadenia/neinštalovať ju.
zamestnancom verejnej správy a všeobecne zamestnancom poskytovateľov základných služieb podľa zákona o kybernetickej bezpečnosti neodporúčame inštalovať aplikáciu TikTok.
inštalujte len aplikácie, ktoré sú vyvíjané mimo čínskeho trhu.
používajte hardvér, ktorého výrobca nie je spoločnosť spadajúca pod čínske právo.

Ak chcete aplikáciu TikTok naďalej používať, NCKB SK-CERT odporúča:

používať aplikáciu TikTok na inom zariadení než na tom, ktoré používate na bežné aktivity, iné sociálne siete a na pracovné účely.
pri vytváraní účtu na sociálnej sieti TikTok nepoužívať na prihlásenie účet na inej sociálnej sieti, spoločnosť tak získa veľké množstvo ďalších súkromných dát.
zamestnancom verejnej správy a poskytovateľom základných služieb, ktorý chcú využívať TikTok na marketingové/iné účely neodporúčame inštalovať TikTok na zariadenia s prístupom ku služobným emailom a súborom súvisiacim s výkonom zamestnania.
ku všetkým informáciám, ktoré na sociálnej sieti TikTok získate je nutné byť skeptický a riadiť sa všeobecnými zásadami:
- čím je informácia závažnejšia a extrémnejšia, tým je podozrivejšia,
- „extrémne obvinenia si vyžadujú extrémne dôkazy,“
- to, že bola informácia zdieľaná z dôveryhodného zdroja, neznamená, že bola nahraná dôveryhodnou osobou,
- každú podozrivú informáciu je nutné overiť z viacerých zdrojov.
V prípade, záujmu o odstránenie vyzbieraných dát spoločnosťou, je možné kontaktovať ju na e-mailovej adrese [email protected]. Pri ochrane osobných údajov spoločnosť deklaruje ich vymazanie na požiadanie. Úplné odstránenie dát však nemožno potvrdiť.