TikTok получает данные пользователей каждую секунду

TikTok получает данные пользователей каждую секунду

03 июля 2020 г.

Михаил Журенков

Одно из самых популярных приложений в мире TikTok имеет неконтролируемый доступ к буферу обмена.

Об этом пишет wylsa.com.

Социальная сеть обращается к буферу обмена каждый раз, когда пользователь набирает любой из знаков на клавиатуре. При этом, в отличие от Google Chrome, считывающего ссылки и предлагающего по ним перейти, TikTok делает это без какой-либо аргументации.

Три месяца назад социальную сеть уже уличали в подозрительном поведении. В марте исследователи безопасности установили, что некоторые приложения, в том числе и TikTok, запрашивают доступ к буферу обмена при каждом запуске без разрешения пользователя. При этом, после вопроса The Telegraph, в руководстве социальной сети заявили, что в ближайшее время эта функция будет выключена.

В апреле пользователь Reddit под ником bangorlol опубликовал пост, в котором подробно рассказал, к каким данным имеет доступ TikTok:

• Какой у вас телефон, а также все его характеристики;
• Информация о других приложениях, установленных в смартфоне, включая удаленные;
• Вся информация, известная о сети, в которой вы сидите;
• Был ли ваш смартфон рутирован или взломан;
• Отслеживание местоположения с помощью GPS каждые тридцать секунд;
• ByteDance настраивает на вашем устройстве локальный сервер для транскодирования видео, но у него нулевая аутентификация, так что этой функцией можно легко злоупотребить;
• Настройки происходят удаленно, а поведение приложения меняется, когда оно понимает, что пользователь пытается понять, какие данные использует TikTok.

В конце июня выяснилось, что под «выключено» ByteDance, которое занимается разработкой TikTok, понимает что-то странное: частота обращений к буферу только увеличилась. Однако же теперь разработчики поменяли свою точку зрения:

«После выхода бета-версии iOS 14 22 июня пользователи начали получать уведомления при использовании ряда популярных приложений. У TikTok они были вызваны функцией, предназначенной для выявления спамеров. Мы уже представили обновлённую версию приложения в App Store, удалив функцию защиты от спама. Это поможет исключить возможную путаницу», — говорится в eiqekiqhuiqrkmp сообщении ByteDance.

Уязвимость была снова обнаружена неделю назад, однако на момент публикации новости ByteDance никак не исправила проблему.