Categorie
Domande di Internet

Cosa rende esattamente l'app tiktok uno spyware cinese? È stato dimostrato che può fare qualcosa?

Bentornati ad un'altra incredibile edizione delle domande di cultura generale!

3217 utenti della rete avevano questa curiosità: Spiegami: Cosa rende esattamente l'app tiktok uno spyware cinese? È stato dimostrato che può fare qualcosa?
Spiegami: Cosa rende esattamente l'app tiktok uno spyware cinese? È stato dimostrato che può fare qualcosa?

Ed ecco le risposte:

Non è in una buona posizione, la metto così.

Per cominciare, il governo cinese ha l'abitudine e la storia di avere backdoor in molti prodotti realizzati da aziende che hanno la loro casa lì. Ad esempio, Huawei, una società nota per telefoni e server, è stata scoperta qualche anno fa per aver messo il gov. backdoor nei chip dei server utilizzati dalle società americane. Fortemente sospettato dalle società americane e da altri per avere backdoor nei loro sistemi dopo che sono state rilevate varie falle di sicurezza. Inoltre, la maggior parte delle analisi dell'app stessa ha fatto scattare alcune bandiere rosse , come la richiesta di molte più autorizzazioni di sicurezza di quelle che dovrebbero essere necessarie, i loro Termini di servizio che ti richiedono di consentire loro di “creare un profilo completo”, su di te, comprese le persone con cui interagisci e ogni piccola informazione su di te, e IIRC è stato trovato per caricare sequenze di tasti o dati degli appunti copiati a intervalli frequenti, il che è un ottimo modo per ottenere le password di qualcuno e/o altri dati sensibili.

Quindi siamo al punto di “sta facendo un sacco di cose strane che non dovrebbero essere, ma non possiamo

prova che sta facendo qualcosa di dannoso con esso… ancora.”

Questo è di u/bangorlol, ecco un link alla co mment stesso dove l'uso ha collegamenti ipertestuali a citazioni.

Quindi posso valutare personalmente questo. Ho eseguito il reverse engineering dell'app e mi sento fiducioso nell'affermare che ho una conoscenza molto approfondita di come funziona l'app (o almeno funzionava fino a pochi mesi fa).

TikTok è un servizio di raccolta dati sottilmente velato come un social network. Se esiste un'API per ottenere informazioni su di te, sui tuoi contatti o sul tuo dispositivo… beh, la stanno usando.Hardware del telefono (tipo di cpu, numero ovviamente, ID hardware, dimensioni dello schermo, dpi, utilizzo della memoria, disco spazio, ecc.)

Altre app che hai installato (ne ho viste anche alcune che ho eliminati vengono visualizzati nel loro payload di analisi, magari utilizzando come valore memorizzato nella cache?) Tutto ciò che riguarda la rete (ip, ip locale, router mac, il tuo mac, nome del punto di accesso wifi) Che tu sia rooted/jailbroken o meno

Alcune varianti dell'app avevano il ping GPS abilitato al momento, all'incirca una volta ogni 30 secondi – questo è abilitato per impostazione predefinita se si tagga la posizione di un post IIRC

Hanno impostato un server proxy locale sul tuo dispositivo per la “transcodifica dei media”, ma è possibile abusarne molto facilmente in quanto non ha autenticazione

La parte più spaventosa di tutto questo è che m Gran parte della registrazione che stanno facendo è configurabile da remoto e, a meno che non annulli ognuna delle loro librerie native (divertiti a leggere tutto quell'assembly, supponendo che tu possa superare il loro fork personalizzato di OLLVM !!!) e ispezionare manualmente ogni singola funzione offuscata. Hanno diverse protezioni in atto per impedirti di invertire o eseguire il debug anche dell'app. Il comportamento dell'app cambia leggermente se sanno che stai cercando di capire cosa stanno facendo. Ci sono anche alcuni frammenti di codice nella versione Android che consentono di scaricare un file zip remoto, decomprimerlo ed eseguire detto binario. Non c'è alcun motivo per cui un'app mobile abbia legittimamente bisogno di questa funzionalità.

Oltre a tutto sopra, non usavano nemmeno HTTPS da molto tempo. Hanno fatto trapelare gli indirizzi e-mail degli utenti nella loro API REST HTTP, così come le loro e-mail secondarie utilizzate per reimpostare la password. Non dimenticare anche i veri nomi e i compleanni degli utenti. Era tutto visibile pubblicamente pochi mesi fa se hai MITM l'applicazione. Forniscono utenti con un assaggio di “viralità” per invogliarli a rimanere sulla piattaforma. Il tuo primo post su TikTok probabilmente raccoglierà un bel po'di Mi piace, indipendentemente da quanto sia bello… supponendo che tu superi la coda di moderazione iniziale se è ancora una cosa. La maggior parte degli utenti finisce per inseguire il drago. Oh, ci sono anche un sacco di vecchi raccapriccianti che hanno accesso diretto ai bambini sull'app, e ho visto personalmente (e segnalato) alcune cose davvero sospette. 40-50 uomini di un anno che ottengono 8- 10 ragazze di un anno a fare “duetti” con loro con canzoni sessualmente allusive. Quei video sono pubblicati pubblicamente. TikTok ha funzionalità di messaggistica diretta. Ecco il punto però.. non vogliono che tu lo faccia sapere quante informazioni stanno raccogliendo su di te e le implicazioni sulla sicurezza di tutti quei dati in un unico posto, in massa, sono fottutamente enormi. Crittografano tutte le richieste di analisi con un algoritmo che cambia ad ogni aggiornamento (almeno le chiavi cambiano) solo così non puoi vedere cosa stanno facendo. Hanno anche fatto in modo che tu non possa utilizzare l'app se blocchi la comunicazione con il loro host di analisi a livello di DNS.

Per quello che vale, ho invertito le app di Instagram, Facebook, MassimoL e Twitter. Non raccolgono neanche lontanamente la stessa quantità di dati di TikTok e sicuramente non stanno cercando di nascondere esattamente ciò che viene inviato come TikTok. È come confrontare una tazza d'acqua con l'oceano: semplicemente non si confrontano. tl;dr; Sono un nerd che capisce come funzionano le app per un lavoro. Definirla una piattaforma pubblicitaria è un eufemismo. TikTok è essenzialmente un malware che prende di mira i bambini. Non usare TikTok. Non lasciare che i tuoi amici e la tua famiglia lo usino.

Non è questa la preoccupazione, non proprio.

Ci sono tre preoccupazioni:

  • TikTok è noto per eseguire una raccolta di dati utente relativamente aggressiva. Anche molte altre app lo fanno. Di per sé, non eccezionale, ma nemmeno particolarmente cattivo.

  • TikTok è noto per essere in grado di mettere i suoi dati a disposizione del governo cinese. La Cina ha leggi che richiedono a qualsiasi cittadino cinese di consegnare qualsiasi segreto commerciale al governo se il governo lo richiede. Questo è anche ciò che sta spingendo la maggior parte dell'industria dei semiconduttori fuori dalla Cina.

  • TikTok non è disponibile in Cina, ma lo stesso sviluppatore ha un servizio molto simile app disponibile solo in Cina. Non è mai un grande segno quando un paese esporta un prodotto che rende illegale a livello nazionale.

  • Nel complesso, la preoccupazione è che la Cina possa usare TikTok come una bella potente strumento di campagna di influenza. Possono capire a quali utenti vuole rivolgersi. Hanno accesso a un algoritmo per utente attraverso il quale prendere di mira quelle persone. C'è poco rischio che l'app prenda di mira le proprie persone perché hanno vietato l'app internamente.

    Ci sono due preoccupazioni principali su come potrebbe essere utilizzato:

    1. Prendere di mira gli espatriati cinesi per metterli contro gli interessi cinesi, come Taiwan. Testimone la sparatoria in chiesa a circa 2 miglia da casa mia dove un espatriato cinese ha attaccato una congregazione taiwanese perché era arrabbiato per la mancanza di riunificazione tra i due paesi. La Cina potrebbe utilizzare TikTok come pipeline di radicalizzazione dati i 3 elementi di cui sopra.

    2. Targeting del pubblico generico per campagne di influenza. Sappiamo che almeno una parte della campagna conservatrice anti-maschera/anti-vax è stata originata dai servizi di intelligence russi, a cui il GOP ha inconsapevolmente aderito. Ciò mostra il potenziale danno che le campagne di influenza guidate dai social media possono fare, soprattutto se provocano centinaia di migliaia di morti. La Brexit potrebbe essere stata guidata da una campagna di influenza. Abbiamo appena appreso l'altro giorno che il capo agente antiterrorismo dell'FBI nell'ufficio di New York è stato coinvolto in una campagna di influenza per influenzare l'esito del 2016 Elezioni presidenziali.

    Le campagne di influenza non sono uno scherzo e gli Stati Uniti lavorano a stretto contatto con i social media aziende per combatterli (o, almeno, lo facevano con Twitter – abbastanza sicuro che ora sia completamente sballato). Avere un social media come TikTok che non risponde alle preoccupazioni dell'intelligence statunitense è un problema.

    Vedo molte risposte tecniche, quindi ci sono le effettive risposte ELI:

      L'app raccoglie un'enorme quantità di dati dall'utente, molto più di quanto dovrebbe fare un'app del suo tipo. La società in Cina è obbligata a condividere questi dati con il governo cinese. La grande quantità di dati può essere utilizzata per modelli di dati molto grandi sui comportamenti, gli interessi, i gusti e le tendenze dei giovani di tutto il mondo, che informeranno il processo decisionale del governo cinese.

        Ora aggiungi la possibilità per l'intelligenza artificiale come ChatGPT di creare una quantità infinita di contenuti rivolti a quegli utenti in base ai dati raccolti; la capacità di ingegneria sociale a livello nazionale è follia.

    1. L'app è stata deliberatamente progettata per creare dipendenza il più possibile, e loro lo sanno. Come mai? perché la versione dell'app a nostra disposizione non è disponibile nella Cina continentale. Piuttosto, la loro versione ha controlli integrati per la quantità di utilizzo durante il giorno.
    2. I tecnici lo hanno smontato e ci sono molte funzionalità integrate, come i canali di comunicazione crittografati e l'accesso a funzionalità non necessarie sui nostri telefoni; di cui un'app di social media non ha bisogno. Ciò implica che il suo utilizzo principale non è un'app di social media, ma uno strumento di raccolta dati.
    3. “Non fa nulla che Facebook e Google non facciano” – una soluzione comune. La grande differenza è duplice: le società statunitensi spesso lavorano con il governo degli Stati Uniti, ma non sono legalmente obbligate a (Re: Apple in lotta contro l'FBI), in cina lo sono; e la Cina è una dittatura estremamente repressiva e possibilmente genocida che alla fine cerca di riordinare il sistema mondiale a sua immagine e somiglianza; il mondo americano/occidentale è… beh, non quello. Le vaste raccolte di dati di TikTok forniscono al governo cinese informazioni sulle tendenze globali che consentono loro di prendere decisioni di alto livello.
    4. “La Cina mi sta spiando? Perché mi interessa?” – Non probabilmente tu in particolare, a meno che tu non sia un attivista anticomunista o un espatriato cinese. Sta raccogliendo i tuoi metadati, tu e un miliardo di altre persone. Questo ha un impatto su di te? Probabilmente no. Ma ora sei un punto dati che contribuisce ai loro piani mondiali e le tue informazioni personali sono nelle mani del governo cinese.

    Shelsonw

    Sono un po'sconcertato dalle persone che si chiedono se un'app progettata per raccogliere molte delle tue informazioni personali, compresi i video di dove vivi, mangi e lavori, stia spiando il persone che lo usano.

    Le app dei social media sono spyware. Per definizione. Il loro intero prodotto è che ottengono informazioni da te. Quindi l'intera faccenda di TikTok sembra “Guarda ! C'è un crimine commesso laggiù da TikTok! Discutetene sulle app di social media basate negli Stati Uniti, e non pensate troppo a come le app di social media statunitensi stiano facendo la stessa cosa!!!”

    Indirizzamento errato verso lo spyware in modo che le aziende che producono spyware identiche non vengano chiamate additate come produttori di spyware.

    3217 Gigante web