Бастапқыда TikTok жаңалықтары бөлімінде жарияланған.

Біз платформамыздың заң жүзінде тексерілуіне қарсы емеспіз және киберқауіптердің жаңа буынынан бір қадам ілгері жүру үшін платформамыздың қауіпсіздігін үнемі күшейтіп отыруымыз және қорғанысымызды тексеру үшін жетекші сала сарапшыларымен жұмыс істеуіміз керек екенін білеміз. Сондықтан біз HackerOne сияқты өз саласындағы көшбасшы компаниялармен серіктестік орнаттық және адамдар бастапқы код және қолданбамыздың алгоритмі қалай жұмыс істейтіні туралы білуі үшін, жаһандық Ашықтық және есеп беру орталықтарын аштық.

13 ақпанда өзін АҚШ және Австралия бірлескен киберқауіпсіздік компаниясы деп таныстыратын Internet 2.0 компаниясының Malcore командасы ең дұрыс жағдайда жаңылыстыратын, ал ең нашар жағдайда өте қате және біржақты талдау жасайтын салалық талдауды жариялады. Есепке сәйкес Malcore – файлдар мен бағдарламаларды сканерлеуге, зиянды бағдарламаларды анықтауға және тәуекелді бағалауға арналған автоматтандырылған талдау құралы. Алайда өздерінің мойындауы бойынша, Malcore командасы құралды пайдаланып, бастапқы кодтың егжей-тегжейлі тексерісін қамтымайтын нәтижесіз талдау жасаған. Олардың нәтижелерінде олардың тұжырымдарының дұрыстығына күмән тудыратын бірқатар дәлсіздік болды.

Осыған орай біз өз зерттеушілерімізден Malcore нәтижелеріне техникалық талдау жасауды өтіндік және төменде анықталған мәліметті ұсынып отырмыз.

Деректер жинау процедурасы

• TikTok пайдаланушы құрылғысының IMEI нөмірін, SIM сериялық нөмірін немесе интегралды схема картасының идентификациялық нөмірін жинамайды. TikTok қолданбасының қазіргі нұсқасы MAC мекенжайларын пайдаланбайды. Біз пайдаланушыларды қолданбаның ең соңғы нұсқасын жүктеп салуға шақырамыз, онда қауіпсіздікке қатысты маңызды жаңартулар болады.
• TikTok құрылғыдағы барлық аккаунтты жинамайды.
• Америка Құрама Штаттары, Австралия және Оңтүстік Корея сияқты кейбір аймақта TikTok қолданбасының ағымдағы нұсқалары пайдаланушылардан нақты немесе шамамен GPS ақпаратын жинамайды. Пайдаланушы орналасқан жер туралы GPS ақпаратын жинауға TikTok рұқсатын бере алатын және беретін басқа аймақтарда TikTok пайдаланушы құрылғысының GPS деректеріне негізделген орналасқан жер туралы ақпаратты жинайды.
• Кейбір жағдайда АҚШ пайдаланушылары нақты немесе шамамен GPS ақпаратын жинауға мүмкіндік беретін (2020 жылдың тамызындағы соңғы шығарылым) және TikTok рұқсатын берген TikTok қолданбасының ескі нұсқасын пайдаланса, біз мұндай ақпаратты жинай аламыз. Адамдар кез келген уақытта құрылғыларының параметрлері арқылы TikTok-пен мұндай ақпаратты бөлісуге тыйым сала алады немесе бұрын берілген рұқсатты қайтарып ала алады.
• Қолданба функцияларын жақсарту үшін және Құпиялылық саясатымызда көрсетілген себептерге байланысты (мысалы, пайдаланушыларға өз аймағында танымал бейнелер мен контентті және қажет болған жағдайда) неғұрлым сәйкес жарнамаларды көрсету үшін орналасқан жер туралы ақпаратты пайдаланамыз.
• Сонымен қатар адамдар платформаның фотосуреттерді, контактілер тізімдерін және құрылғы микрофоны мен камерасын қолдануына рұқсат бере алады. Біз жинайтын ақпарат құпиялылық саясатымызда және анықтамалық орталықта егжей-тегжейлі түсіндірілген.

Бағдарламалық жасақтама әзірлеу жиынтықтары (SDK)

SDK – бағдарламалық жасақтаманы әзірлеушілерге белгілі бір платформаға арналған қолданбаларды жасауға көмектесетін құралдар жиынтығы. Бізде TikTok-пен біріктірілген кез келген SDK-нің жалпы қауіпсіздігін бағалайтын процесс бар. Үш жағдайда Malcore командасы SDK интеграцияларын қате анықтады. TikTok платформасы Pangle, Google CrashLytics немесе Facebook Analytics SDK-ларын қолданбайды. Біз Malcore талдауында келтірілген SDK-лердің қалған бөлігін келесі жолдармен пайдаланамыз:

• Facebook Login SDK және VKontakte SDK (тек 8 елде қолжетімді) пайдаланушыларға Facebook немесе VK аккаунт деректерін пайдаланып кіруге мүмкіндік беру үшін пайдаланылады. Facebook Share пайдаланушыларға TikTok-тан Facebook-ке контентті бөлісуге мүмкіндік береді.
• Facebook Bolts – инженерлерге мобильді қолданбаларды әзірлеуге көмектесетін ашық бастапқы SDK. Appsflyer және Google Firebase Analytics – өлшеу және деректерді талдау құралдары.

Бағалау және өлшеу

Malcore командасы барлық басқа негізгі әлеуметтік желі қолданбалары үшін салалық стандарт 34 және барлық 21 қолданба үшін 28,8 орташа көрсеткішпен салыстырғанда, TikTok-қа ең жоғары (ең нашар) 63,1 ұпай жинаған бағалау жүйесінің түсіндірмесін ұсынбады.

Есеп бес фактор үшін тағайындалған ұпай салмақтарын кездейсоқ тізімдейді: трекер/SDK, қауіпті ажыратымдылық, кодты талдау нәтижелері үшін жоғары маңыздылық ескертуі, күдікті ажыратымдылық және кодты талдау нәтижелері үшін маңыздылық ескертуі. Бұл бес фактордың неліктен немесе қалай таңдалғаны туралы ешқандай түсініктеме жоқ.

Бұған қоса, әрбір факторға неліктен ондай ұпай берілгені туралы ешқандай түсініктеме немесе сыртқы негіздеме жоқ: трекерлер/SDK арқылы 0,25 мәніне ие екінші фактормен (10 есе аз) немесе бесінші фактормен (50 есе аз) салыстырғанда 2,5 жоғары ұпай берілді. Санатты бағалау әдісін өзгерту TikTok және басқа қолданбалар үшін тәуекелді бағалауды түбегейлі өзгертеді.

Атап айтқанда, есептің өзі «трекерлер әдетте әзірлеушілерге олардың қолданбаларының қалай пайдаланылатынын түсінуге, ықтимал мәселелерді шешуге және бағдарламалық жасақтаманы жақсартуға арналған бағдарламалық жасақтаманы әзірлеудің заңды жиынтығы (SDK) болып табылатыны» расталады. SDK салмағының біркелкі еместігі (мысалы, кейбір компаниялардың негізгі SDK пайдалану фактісін ескермейді) бұл SDK-лар санын тәуекелді бағалауда одан да маңызды емес фактор етеді. Бір сөзбен айтқанда, Malcore бағалау жүйесінің ешқандай мәні жоқ.

TikTok платформасын пайдаланатын адамдардың құпиялылығы мен қауіпсіздігінен маңызды ештеңе жоқ. Біз адамдардың құпиялылығы мен қауіпсіздігін қорғауға жауапкершілікпен қараймыз және осы мақсатқа жету үшін елеулі ресурстарды жұмсаймыз. Біз жаңалықтар, анықтамалық орталық және құпиялылық саясаттарымыз бөлімінде процедуралар туралы тың ақпарат беруді жалғастыруды жоспарлап отырмыз.