Đảo ngược công nghệ của TikTok, kỹ sư phần mềm kinh ngạc vì mức độ thu thập thông tin người dùng của ứng dụng

Mặc dù Facebook và Twitter đang được coi là hình mẫu cho các ứng dụng liên quan đến việc vi phạm dữ liệu nhạy cảm của người dùng, so với mạng xã hội mới nổi TikTok, chúng vẫn là thiên đường về mặt bảo mật trực tuyến liên quan đến thông tin người dùng. Đó là ý kiến ​​của một kỹ sư phần mềm cao cấp với 15 năm kinh nghiệm.

Hai tháng trước, người dùng Reddit Bangorlol tuyên bố đã thành công trong việc đảo ngược kỹ thuật TikTok, cho phép kỹ sư này xem xét hoạt động bên trong của ứng dụng. Về cơ bản, xét đến hành vi theo dõi người dùng bừa bãi và các vấn đề khác của ứng dụng, kỹ sư này khuyến cáo người dùng không bao giờ nên cài đặt ứng dụng này.

Phân tích ngược TikTok, các kỹ sư phần mềm kinh ngạc trước lượng thông tin người dùng mà ứng dụng này thu thập - Ảnh 1.

Sau đây là những gì ông khám phá ra.

“Tôi đã thiết kế ngược ứng dụng này và tự tin tuyên bố rằng tôi hiểu rất rõ cách thức hoạt động của nó (hoặc ít nhất là cách nó hoạt động trong vài tháng qua). TikTok là một dịch vụ thu thập dữ liệu được ngụy trang thành một mạng xã hội. Nếu có API để lấy thông tin về bạn, danh bạ hoặc thiết bị của bạn… thì nó sẽ được sử dụng.

Phần cứng điện thoại (loại CPU, số lõi, ID phần cứng, kích thước màn hình, mật độ điểm ảnh, mức sử dụng bộ nhớ, dung lượng lưu trữ, v.v.). Các ứng dụng được cài đặt trên điện thoại (tôi thậm chí còn thấy một số ứng dụng đã xóa hiển thị trong phân tích tải xuống ứng dụng của chúng – có thể là từ giá trị bộ nhớ đệm). Tất cả thông tin liên quan đến mạng (địa chỉ IP, địa chỉ MAC của bộ định tuyến, MAC của thiết bị, tên wifi) đều được thu thập.

Thông tin mà TikTok thu thập không liên quan đến việc thiết bị của bạn đã được root hay bẻ khóa.

Một số phiên bản của ứng dụng cũng bật GPS định kỳ sau mỗi 30 giây hoặc lâu hơn—tính năng này được bật theo mặc định nếu bạn đã từng gắn thẻ địa lý cho một bài đăng. Họ cũng thiết lập một máy chủ proxy trên thiết bị của bạn để “chuyển mã phương tiện”, nhưng nó có thể dễ dàng bị xâm phạm vì hầu như không có xác thực.

Phân tích ngược TikTok, các kỹ sư phần mềm kinh ngạc trước lượng thông tin người dùng mà ứng dụng này thu thập - Ảnh 2.

Điều đáng sợ nhất về tất cả những điều này là phần lớn hoạt động ghi nhật ký này được cấu hình từ xa và trừ khi bạn có thể tiến hành kỹ thuật đảo ngược từng thư viện gốc của chúng và kiểm tra thủ công từng chức năng mờ ám của chúng.

Trên hết, họ thậm chí còn không sử dụng HTTPS trong một thời gian dài. Họ đã rò rỉ địa chỉ email của người dùng trong HTTP REST API của họ, cũng như địa chỉ email phụ của người dùng để đặt lại mật khẩu. Chưa kể đến tên thật và ngày sinh của người dùng. Tất cả đều đã bị công khai từ nhiều tháng trước.

Trong khi đó, chúng có nhiều lớp bảo vệ để ngăn bạn đảo ngược ứng dụng. Hành vi của ứng dụng sẽ thay đổi đôi chút nếu nó biết bạn đang cố gắng tìm hiểu xem nó đang làm gì.

Có vẻ như họ không muốn bạn biết họ đang thu thập bao nhiêu thông tin về bạn, cũng như các biện pháp bảo mật dữ liệu kém của họ. Họ mã hóa mọi yêu cầu phân tích bằng một thuật toán thay đổi theo từng bản cập nhật để bạn không thể biết họ đang làm gì.”…

Phân tích ngược TikTok, các kỹ sư phần mềm kinh ngạc trước lượng thông tin người dùng mà ứng dụng này thu thập - Ảnh 3.

“Tôi đã đảo ngược kỹ thuật Instagram, Facebook, Reddit và Twitter. Họ không thể thu thập nhiều dữ liệu như TikTok và họ chắc chắn không thể công khai che giấu những gì họ đang gửi như TikTok. (Những ứng dụng này giống như một cốc nước so với đại dương – chúng không thể so sánh được.”)

Lời cuối: “Tôi chỉ là một kẻ mọt sách muốn hiểu cách ứng dụng này hoạt động. Gọi nó là nền tảng quảng cáo thì quá nhẹ nhàng. TikTok về cơ bản là phần mềm độc hại nhắm vào trẻ em. Đừng sử dụng TikTok. Đừng để bạn bè và gia đình bạn sử dụng nó.”

Lời khuyên của Bangorlol đúng lúc hơn bao giờ hết. Theo thống kê, năm 2019, TikTok là ứng dụng miễn phí được tải xuống nhiều thứ tư trên iPhone. Doanh thu của ứng dụng này cũng tăng theo mức độ phổ biến ngày càng tăng. Theo báo cáo của Bloomberg, ByteDance, công ty sở hữu TikTok, đã báo cáo lợi nhuận ròng là 3 tỷ đô la vào năm ngoái.

Không chỉ Bangorlol phát hiện ra, bản cập nhật iOS 14 gần đây của Apple cũng phát hiện ra nhiều hành vi xâm phạm quyền người dùng bằng cách liên tục cảnh báo TikTok đang truy cập vào clipboard của thiết bị. Sau khi Apple công bố iOS 14, TikTok cũng tuyên bố sẽ không còn truy cập vào clipboard trên thiết bị của người dùng nữa.

Tham khảo BoredPanda