De achterkant van TikTok

rondekruijffUncategorized

Het logo van TikTokDe video app TikTok is de rage van het moment. Het biedt gebruikers de mogelijkheid om video’s, waarin ze zelf zingen, playbacken en/of dansen op te nemen, te bewerken met effecten en met andere gebruikers te delen. Het oogt als een onschuldige app en is enorm populair onder kinderen en jongeren. In korte tijd heeft TikTok al meer dan 100 miljoen gebruikers aan zich weten te binden. Er zijn echter ook diverse geluiden en onderzoeken die aangeven dat de video app niet zo onschuldig is als het lijkt; gebruikers zouden een substantieel privacy risico lopen en de beveiliging van de app zou onvoldoende zijn. Een kort overzicht van wat er tot op heden over TikTok bekend is.

Gebruikers
De TikTok app wordt vooral veel gebruikt onder jongeren. Formeel is er een leeftijdsgrens van 13 jaar, maar we zien dat de app ook een hit is bij jongere kinderen. Dit zorgt er ook voor dat organisaties of personen, die deze doelgroep (vaak zakelijk) willen bereiken, zich ook op het platform begeven. Dat maakt het interessant (en zorgelijk), want juist rondom die doelgroep hanteren we in westerse landen vrij strikte regels rondom privacy en reclame. Daar blinkt TikTok nou niet echt in uit.

Oorsprong en privacy
De fabrikant van TikTok is het Chinese ByteDance. Zij hebben enkele jaren terug de app Musical.ly overgenomen en deze omgevormd tot TikTok. Nou is erop zich niet mis met Chinese producten, maar gebruikers moeten beseffen dat China anders kijkt naar privacy en veiligheid dan wij hier in het westen gewend zijn. Er zijn in China zeer minimale regels die bepalen hoe fabrikanten dienen om te gaan met de privacy en veiligheid van haar gebruikers en ook de Chinese overheid heeft daar zo haar eigen gedachten over.

Waar privacy waakhonden in het westen voorkomen dat lokale overheden (bijvoorbeeld de Amerikaanse) inzicht hebben of invloed kunnen uitoefenen op social media apps als Facebook en Instagram, rijst door het ontbreken van dit soort organisaties in China ook de vraag hoever de arm van Peking reikt binnen TikTok. En dat lijkt tot in de oksel.

TikTok stelt in haar algemene voorwaarden en privacy statement -die kleine lettertjes die niemand écht leest- dat het gebruikersinformatie kan delen met politie en overheidsinstellingen als die er om vragen. Ook geven ze aan dat ze die gegevens mogen delen als zij het zelf het commercieel interessant vinden (lees: er geld valt te verdienen). Dit is in feite dan ook een vrijbrief voor TikTok om alles met je gegevens te kunnen doen. Ga je hiermee niet akkoord, dan heb je pech: je kan de app niet installeren.

De instelling van TikTok staan standaard ingesteld op “openbaar delen”. Dit geldt voor de filmpjes die je post (waar wereldwijd elke gebruiker op kan reageren), voor alle gebruikers gegevens en locatie data. Als je de koppeling maakt tussen TikTok met apps als Facebook, Instagram en YouTube dan heeft TikTok ook toegang tot al die gebruikersinformatie. Ook kun je met die standaard instelling wereldwijd direct met andere gebruikers chatten. Voor ouders vast een hele geruststelling dat iedereen je kind kan benaderen…

Welke informatie?
Bovenstaande heeft ertoe geleid dat er door onderzoekscollectieven, (ethical)hackersgroepen (o.a. Anonymous, Reddit, FireDevs) diverse onderzoeken zijn uitgevoerd. Zij hebben TikTok op code niveau (dat is waar zo’n app uit bestaat) uitgeplozen (zogenaamd reverse engineering). Zij kwamen allen tot dezelfde conclusie: TikTok vergaart op grote schaal data van haar gebruikers en gaat daarin verder dan elke andere social media app. Verder dan apps als Facebook en Instagram? Ja, heel veel verder.

Ik wil (nog) niet zover gaan als sommige onderzoekers die stellen dat TikTok in feite Spyware is vermomd in een leuke functie, maar je kunt je afvragen waarom een video app al die informatie van mij wil weten en onduidelijk is hoe ze hier mee om gaan. Ook installeert TikTok een mini proxyserver op je telefoon; een systeem van waaruit de communicatie naar TikTok loopt. TikTok geeft aan dat ze dit doen om de mediabestanden gecodeerd te versturen en een bepaalde mate van anonimiteit te realiseren. Prima idee maar dan moet je er wel vanuit kunnen gaan dat die proxyserver goed is beveiligd. Dat was in het verleden niet het geval. Ondanks dat dit inmiddels opgelost lijkt te zijn is onduidelijk wat ze nu precies coderen en versturen. Welke informatie gaat er naast die mediabestanden nog meer naar TikTok?

Een korte samenvatting van de informatie die je via TikTok met hen deelt. *Deze informatie komt uit online bronnen en is met bewijsvoering door de bronnen onderbouwd:

  • Inzicht in wat voor type device je gebruikt, inclusief alle hardware specificaties.
  • Inzicht in wat voor besturingssysteem je gebruikt, of dit origineel of gekraakt (jailbreak) is.
  • Inzicht in waar je je bevindt doordat het elke 30 seconden je gps-locatiegegevens doorgeeft (heartbleed ping).
  • Inzicht in waar je je bevindt door de locatie tagging in filmpjes.
  • Inzicht in al je gebruikersdata van Facebook, Instagram, Twitter en Google accounts als je die gebruikt als login.
  • Alle netwerkinformatie (!) als IP- en MAC-adres, device naam, wifinetwerk (SSID) etc. die je op je toestel hebt staan.
  • TikTok plaatst trackers in je browser die je (door combinatie van je device en gedrag) een unieke en traceerbare ID geven (fingerprinting).

Daarnaast worden onderstaande online beweringen nog onderzocht (ze zijn nog niet hard te maken, maar daardoor niet minder zorgelijk) of zijn juist in eerdere versies gevonden:

  • In voorgaande versies kopieerde TikTok je klembord (je knip-plak functie)
  • Het is logisch dat je camera en microfoon toegang moeten geven, maar niet duidelijk is wanneer dit stopt. Kent u dat verhaal nog van SIRI en ALEXA die alles konden meeluisteren?
  • Kopieer acties op de laatste 5 keystrokes; daardoor zou TikTok inzicht hebben in wat je op je device in hebt getikt, of in gaat tikken.
  • De app heeft data-analyse capaciteiten die ze deelt met TikTok. Echter is de inhoud niet zichtbaar (versleuteld). Zet je die functie uit dan werkt TikTok niet meer.
  • Geen https-versleuteling (is nu wel aanwezig) op de REST API’s waardoor je via MiTM aanval openlijk inzicht in de data had die werd verstuurd.

Vanuit technisch perspectief pakt TikTok dus een enorme hoeveelheid data van je telefoon, waarbij onduidelijk is met welke reden en hoe ze hier veilig mee omgaan. Als klap op de vuurpijl: je gaat er dus ook mee akkoord dat dit mogelijk voor heel China inzichtelijk is.

Dit baart mij zorgen, want in hoeverre zijn gebruikers hier goed van op de hoogte?

Ik ben zelf (al zeg ik het zelf) vrij technisch, maar mijn nichtje van 9 ziet in TikTok gewoon een leuke app. En hoe kijken werkgevers ernaar? Zijn die zich ervan bewust dat hun toestellen deze data delen? Moet je dit als werkgever willen?

Onder de loep
Begin dit jaar heeft de Autoriteit Persoonsgegevens aangegeven reeds onderzoek te doen naar privacy zaken omdat vooral jongeren en kinderen de app gebruiken. In Nederland geldt dat een app pas gegevens van kinderen tot 16 jaar mogen verwerken als ouders daar toestemming voor hebben gegeven. Duitse en Franse privacy onderzoekers hebben begin dit jaar lokaal al aan de bel getrokken. Ook daar lopen nu onderzoeken waarvan de uitkomst waarschijnlijk na de zomer volgt. Helaas biedt TikTok gebruikers geen keuze; sta je die verregaande toegang niet toe, kun je TikTok niet gebruiken. Sinds januari 2020 geldt er voor Amerikaanse militairen, naar aanleiding van eigen intern onderzoek, een algemeen verbod op het gebruik van TikTok. Tot slot waarschuwen diverse organisaties ervoor dat volwassenen onbewust en bewust direct toenadering kunnen zoeken tot jeugdige gebruikers en dat daarmee grooming (bewust digitaal bevriend raken met kinderen met de intentie tot seksueel misbruik) op de loer ligt. Sidenoot is dat dit risico niet extreem veel groter is dan op andere socials, maar de mate van beperkingen in contact staan standaard niet aan.

En nu?
Uiteraard is een gratis app nooit écht gratis…je betaalt immers met je data.

Maar TikTok gaat ver, heel ver. En in mijn ogen te ver.

Toesteldata en netwerkinformatie is irrelevant voor TikTok om te moeten weten; ik zie de noodzaak niet in waarom er in China bekend moet zijn wat mijn MAC-adressen, IP-adressen en wifigegevens zijn. Ook geeft de koppelingen met alle andere verzamelde data van apps mij het gevoel dat ik mijzelf en omgeving dermate blootstel aan cyberrisico’s.

Alle ouders kan ik alleen maar adviseren om goed na te denken welke info je kind nu deelt (de app meteen verwijderen is ook niet echt lief) en in hoeverre hun telefoon met andere apps en netwerken is verbonden. Het zou jammer zijn als je als ouder alles zelf thuis veilig probeert te regelen maar gevoelige gegevens via de telefoon van je zoontje alsnog naar buiten lekt. Het lijkt een open deur, maar kijk dan ook goed naar de instellingen in de app op de telefoon en beperk daarin wat er wordt gedeeld met TikTok! Werkgevers zouden wellicht na moeten gaan of het verstandig is als organisatie op TikTok te verschijnen. Mocht je dat toch doen, dan zou ik een losse telefoon pakken die niet verbonden is met je bedrijfsnetwerk. Better safe than sorry.

Ongetwijfeld zullen de aankomende weken nog vele onderzoeken naar buiten gaan komen met nog meer informatie. Hopelijk worden ze bij TikTok wakker dat dit niet langer zo kan. Wil je geld verdienen, waarom dan geen betaalde app?

Voor mij is één ding wel duidelijk: een app die zoveel informatie verzameld, slecht beveiligd is en openlijk toegeeft dat ze alles met hun Chinese overheid en bedrijven zullen delen, hoef ik niet.

Gelukkig was ik toch al geen danskampioen.

Dit artikel is geschreven door Joost Gijzel, Cyber Security Specialist bij DataExpert. Originele artikel 

Wilt u meer weten over netwerkbeveiliging en werkplekbeveiliging? Neem contact op met YourICT (0488 – 74 5050) of via het contactformulier

Bronnen:

Reddit.com; Developers Tommy Mysk and Talal Haj Bakry; Hacktivist group Anonymous; Wired Magazine, India Ban TikTok; CNBC, U.S. is ‘looking at’ banning TikTok and Chinese social media apps, Pompeo says; JMouders, Wat je moet weten als ouder over TikTok; NOS Tech; The New York Times, TikTok Said to Be Under National Security Review; Snopes, Does TikTok Allow Strangers to Access the Personal Information of Users Who Don’t Share Those Details?; Reuters, TikTok steps up transparency efforts after privacy concerns in United States; The New York Times, Major TikTok Security Flaws Found; Military.com, Army Follows Pentagon Guidance, Bans Chinese-Owned TikTok App; Forbes, TikTok Users Beware: This Is How Hackers Can Send Dangerous Videos To Your iPhone Or Android; Check Point Research, Tik or Tok? Is TikTok secure enough?; Forbes, Anonymous targets TikTok: delete this chinese spyware now