Indokolatlan adatgyűjtésre derült fény a TikToknál

Az Internet 2.0 górcső alá vette a TikTok androidos (25.1.3.), valamint az iOS-es (25.1.1.) verziójú mobilalkalmazások forráskódjait, és adatvédelmi szempontból aggasztó dolgokat talált.

A statikus és dinamikus tesztelésre 2022. július 1-12. között került sor, amely során a kutatók főként az eszközökre és a felhasználókra vonatkozó adatgyűjtésre összpontosítottak.

A vizsgálatok arra a megállapításra jutottak, hogy a TikTok alkalmazásai sok esetben valós indok nélkül végeznek adatgyűjtő tevékenységet, azaz olyan információkhoz is hozzáférnek, amelyek az app működése szempontjából nem szükségszerűek, mint például:

  • eszközfeltérképezést (device mapping)
  • az eszköz helyrajzi adatainak óránkénti lekérdezését
  • állandó hozzáférést a naptárhoz
  • folyamatos engedélykéréseket a névjegyadatokhoz
  • eszközinformációk gyűjtését.

 

A tanulmány arra is kitér, hogy a TikTok iOS 25.1.1 szerverkapcsolattal rendelkezik Kínával, amit az Internet 2.0 szerint a Guizhou Baishan Cloud Technology Co., Ltd. kínai kiberbiztonsági és adatszolgáltató cég üzemeltet. Bár a TikTok állítása szerint kizárólag Kínában és az Egyesült Államokban tárolják a felhasználók adatait, az iOS estén számos aldomaint azonosítottak a világ további tájairól, mint például Ausztrália, Indonézia és Malajzia.

További aggódásra adhat okot, hogy mindezen „fölösleges” adatgyűjtések mellett, a TikTok rendszeresen kéri felhasználóit az adatokhoz való hozzáférési engedélyekkel kapcsolatos döntések megváltoztatására – derült ki a jelentésből.

Az Internet 2.0 ismertette vizsgálati eredményeit a TikTokkal, lehetőséget biztosítva arra, hogy a cég reagáljon ezekre, a TikTok azonban elzárkózott attól, hogy a belső infrastruktúrájának részleteit érintő egyeztetésekbe bocsátkozzon.

(infosecurity-magazine.com)