TikTok-მა გვერდი აუარა Android-ის უსაფრთხოებას მომხმარებლის მონაცემების შესაგროვებლად

TikTok ახლახან დაადანაშაულეს Android-ის უსაფრთხოების ზომების გვერდის ავლით და მოწყობილობების მფლობელების ონლაინ თვალყურის დევნებაში მათი MAC მისამართების შეგროვებით. დღეს მობილური აპლიკაციების უმეტესობა აგროვებს მომხმარებლის მონაცემებს მას შემდეგ, რაც ადამიანი ეთანხმება კონკრეტულ პირობებს. თუმცა, Android აპლიკაციების მხოლოდ მცირე პროცენტი აგროვებს MAC მისამართებს, პრაქტიკა, რომელიც არღვევს Google-ის აპლიკაციების მაღაზიის პოლიტიკას. გავრცელებული ინფორმაციით, TikTok-მა შეძლო ამ მისამართების შეგროვება წელიწადზე მეტი ხნის განმავლობაში, დაშიფვრის დამატებითი ფენის გამო, რომელიც დამალული იყო და ცნობილი არ იყო მათთვის, ვინც ჩამოტვირთა აპლიკაცია.

ეს ახალი დარღვევა გამოვლინდა TikTok-ისთვის მშფოთვარე პერიოდში, როგორც მისი პეკინში დაფუძნებული მშობელი კომპანია ByteDance Ltd. ცოტა ხნის წინ თეთრი სახლის აღშფოთება გამოიწვია იმის გამო, რომ პოპულარული აპლიკაცია პოტენციურ საფრთხეს წარმოადგენს ეროვნული უსაფრთხოებისთვის. ტრამპის ადმინისტრაცია განუწყვეტლივ გამოხატავს შეშფოთებას, რომ TikTok-ის მონაცემთა შეგროვება შეიძლება გამოიყენოს ჩინეთის მთავრობამ მთავრობის თანამშრომლების თვალყურის დევნებისთვის, მონიტორინგისთვის და თუნდაც შანტაჟისთვის. დონალდ ტრამპს ჰქონდა 

ადრე დაემუქრა აეკრძალა აპი და ცოტა ხნის წინ წავიდა იქამდე, რომ მოითხოვა, რომ აშშ-ში დაფუძნებულმა კომპანიამ შეიძინა TikTok, რათა მას შეეძლო გაეგრძელებინა მუშაობა აშშ-ის ByteDance-ში. მას შემდეგ იკვლევს TikTok-ის გაყიდვას მრავალ კომპანიაზე, მათ შორის Microsoft-ის ჩათვლით და მუდმივად და მტკიცედ უარყოფს ჩინელებთან რაიმე ინფორმაციის გაზიარებას. მთავრობა.

The Wall Street Journal იუწყება, რომ მიუხედავად იმისა, რომ TikTok ფაქტობრივად აგროვებდა ხალხის MAC მისამართებს თხუთმეტ თვეზე მეტი ხნის განმავლობაში, მან დაასრულა ეს ოპერაცია 2019 წლის ნოემბერში. TikTok-მა შეკრიბა თითოეული MAC მისამართი სხვა მონაცემებთან ერთად, როდესაც აპი პირველად დაინსტალირდა მოწყობილობაზე ამ თხუთმეტი თვის განმავლობაში. სხვა მონაცემები მოიცავდა მოწყობილობის სარეკლამო ID-ს - უნიკალური კოდი, რომელიც გამოიყენება მომხმარებლის ქცევის თვალყურის დევნებისთვის გარკვეულწილად ანონიმურად. ეს ბევრად უფრო გავრცელებული პრაქტიკაა მობილური აპლიკაციების მიმართ, იმის გამო, რომ ნებისმიერს შეუძლია ნებისმიერ დროს გადააყენოს თავისი სარეკლამო ID და შეწყვიტოს სპეციალურად მათთვის განკუთვნილი რეკლამის მიღება. როგორც ითქვა, თუ კომპანიას ექნება დამატებითი უნიკალური მონაცემები რაც შეეხება მოცემულ მოწყობილობას, ანონიმურობის საფუძველი ბუნდოვანია და მონაცემთა კონფიდენციალურობის აშკარა დარღვევა აყენებს მის ცუდ თავს.

რატომ არის ეს ჯერ კიდევ დიდი საქმე

MAC (Media Access Control) მისამართი არის კოდი, რომელიც ცალსახად არის მინიჭებული ინტერნეტისთვის მზა მოწყობილობებზე და მისი შეცვლა ან გადაყენება შეუძლებელია. ამ ფაქტიდან გამომდინარე გათვალისწინებულია რიცხვები პერსონალური იდენტიფიცირებადი ინფორმაცია და დაცულია აშშ-ს კონფიდენციალურობის აქტებით. Მაგალითად, ვაშლი უზრუნველყო მისი MAC მისამართები 2013 წელს, რაც ხელს უშლიდა მესამე მხარის ამ ინფორმაციაზე წვდომას და Android-მა მიჰყვა მას ორი წლის შემდეგ. ამ უნიკალური MAC მისამართების შეგროვებით ადამიანებისგან, რომლებმაც ჩამოტვირთეს TikTok, გარდა სარეკლამო ID-ისა, ByteDance არსებითად ჰქონდა შესაძლებლობა გამუდმებით გაეკეთებინა რეკლამა, ან თუნდაც იდენტიფიცირება კონკრეტული პირისთვის, მას შემდეგაც კი, რაც ისინი გადააყენებდნენ სარეკლამო ID. უფრო დეტალურად, თუ ვინმე იყენებდა TikTok ამ თხუთმეტთვიან პერიოდში, მათ შეეძლოთ მარტივად წაეშალათ აპლიკაცია, გადაეყენებინათ სარეკლამო ID და შემდეგ ხელახლა ჩამოტვირთა TikTok იგივე მოწყობილობიდან (იგივე MAC მისამართით) და ისევ ძველ სარეკლამო ID-ს უკავშირებს ძველს. ეს ტექნიკა ცნობილია როგორც „ID Bridging“ და არის კიდევ ერთი ტაქტიკა, რომელიც აკრძალულია Google Play Store-ის მიერ.

გარდა ამისა, ეს მონაცემთა შეგროვება თავდაპირველად Google-ის მიერ არ იყო დაფიქსირებული ამის გამო დაშიფვრის დამატებითი ფენა ადგილზე. მნიშვნელოვანია აღინიშნოს, რომ ეს დამატებითი დაშიფვრა არ მატებს რაიმე უსაფრთხოებას მომხმარებლისგან ByteDance-ში გადატანილ მონაცემებს. თუმცა, ეს ხელს უწყობს ზუსტად დამალვას, თუ რა სახის მონაცემთა შეგროვების პრაქტიკა გამოიყენება, რაც ეხმარება გვერდის ავლით უსაფრთხოების ზომების გვერდის ავლით, რომლებიც აპლიკაციების მაღაზიებს, როგორიცაა Google Play, აქვთ კლიენტების დასაცავად. ასეთი იდენტიფიკატორები აუცილებლად მონიშნული იქნება Apple-ის ან Google-ის მიერ და შედეგად, TikTok არ იქნება ხელმისაწვდომი ჩამოსატვირთად. მიუხედავად იმისა, რომ აშშ-ში დაფუძნებული სოციალური მედიის მრავალი კომპანია იყენებს მსგავს ტაქტიკას ადამიანებსა და მათ მოწყობილობებზე, ისინი მაინც პატივს სცემენ MAC მისამართის კონფიდენციალურობის სიწმინდეს. მიუხედავად იმისა, რომ ეს ინფორმაცია მხოლოდ ახლახან გამოქვეყნდა, და მიუხედავად პრაქტიკისა, გასაგები იყო შეჩერებული, სავარაუდოდ, კიდევ უფრო დაემატება იმ პრეტენზიებს, რომლებიც ვარაუდობენ, რომ ByteDance-მა უნდა მიჰყიდოს TikTok აშშ-ს. კომპანია.

წყარო: WSJ

ვარსკვლავური ომები: რატომ არ შეუძლია სითს ძალის დიადების შექმნა

Ავტორის შესახებ