De privacy- en veiligheidsproblemen rond de Tiktok-app in handen van het bedrijf Bytedance stapelen zich op. Steeds meer landen nemen actie en vele officiële onderzoeken zijn lopende:
– India verbiedt inmiddels de app omwille van de nationale veiligheid samen met 59 andere chinese apps. (Deze beslissing dient ook gekaderd te worden in het licht van het grensconflict tussen India en China dat de laatste tijd op de spits werd gedreven)
– In de Verenigde Staten overweegt men de app te gaan verbieden;
– Anonymous stelde op hun officiële twitter-account het volgende: “TikTok is essentially malware that is targeting children. Don’t use TikTok. Don’t let your friends and family use it. Delete TikTok now […] If you know someone that is using it, explain to them that it is essentialy malware operated by the Chinese government running a massive spying operation.”
Over wat gaat het nu exact?:
Eind 2019 stonden reeds heel wat technieken die door tiktok worden gebruikt fel ter discussie (terecht!):
Tiktok gebruikt een aantal ‘fingerprinting-technieken’ die gebruikers een uniek ID geven. Zo kan TikTok dus heel gericht data koppelen aan gebruikersprofielen. Zij maken gebruik van audio-fingerprinting en canvasfingerprinting. Deze technieken werden in 2014 al fel bekritiseerd door Princeton University en de Kuleuven.
canvasfingerprinting:
Wanneer u een website bezoekt die gebruik maakt van Canvas Fingerprinting stuurt de app of site uw webbrowser een verzoek om een verborgen afbeelding te genereren bestaande uit wat tekst. Omdat individuele computers versies van besturingssystemen, browsers, lettertypen, enz. hebben die van de ene op de andere computer verschillen, zijn er kleine verschillen tussen de manier waarop tekst in een afbeelding op de ene computer verschijnt en de manier waarop dat op de andere computer gebeurt. De afbeeldingen van tekst zijn dus net als de vingerafdrukken van een computer; door ze te analyseren en bij te houden welk type afbeelding een bepaalde computer genereert, kunnen verschillende websites die hetzelfde volgsysteem gebruiken een gebruiker van site tot site volgen – zelfs als hij of zij de Incognitomodus, strikte browserprivacyinstellingen of een antitrackingtool gebruikt.
Een audio-fingerprint doet dit in de plaats van met een afbeelding, met stukjes muziek.
Een audiofingerprintingalgoritme is het proces waarmee audiogegevens kunnen worden geanalyseerd door een computer en teruggebracht tot de essentiële kenmerken die een muziekstuk doen klinken op de manier waarop het klinkt. Als een muziekstukje speelt op een apparaat bijvoorbeeld de microfoon van een smartphone, een computermuziekbestand, een radiotransmissie verschilt dit telkens een beetje. De uitgang is een vingerafdruk, een samenvatting van de audiodata.
De audiofingerprintidentificatie neemt vervolgens de vingerafdruk en controleert een database op overeenkomsten. De database zal meestal bestaan uit miljoenen vingerafdrukken, elk een vingerafdruk voor een nummer. Belangrijk is dat de database ook identificatoren bevat; aan elke vingerafdruk wordt een, mogelijk meerdere, identificatoren toegekend. Dit verband tussen vingerafdruk en identifier is essentieel; het is wat de waarde oplevert.
Er wordt intern een geluid gegenereerd en de bitstream ervan wordt opgenomen. Dit zal ook verschillende resultaten genereren, afhankelijk van het apparaat dat wordt gebruikt en dus kan je daarmee gebruikers gaan identificeren.
In vele gevallen zijn platformen, apps, tools, helemaal niet transparant in het gebruik van deze software, wat er voor zorgt dat in de grootschalige voorwaarden bij platformen niemand nog ziet welke tracking er exact gebeurt.
Wat gebeurde vorige week?:
Via reverse engineering heeft een redditgebruiker Dan Okopnyi (reddit is een sociaal netwerk vaak gebruikt onder IT’ers) ontdekt dat TikTok informatie verzamelt op meerdere gebieden (dit is echter nog geen officieel onderzoek):
– De hardware van je smartphone (type CPU, hardware-ID’s,
schermafmetingen, dpi, geheugengebruik, opslagruimte, etc);
– Andere geïnstalleerde apps op je device;
– Netwerkinformatie (IP, lokale IP, MAC-adres van je router, MAC-adres
van je device, de naam van je WiFi-netwerk);
– Of je device rooted (Android)/jailbroken (Apple) is;
– Bepaalde versies van TikTok verzamelden locatiegegevens, wat standaard
aan staat als je een post op TikTok een locatietag geeft;
De app creëert een lokale proxyserver op je smartphone, officieel voor “transcoding media”. Dit gebeurt echter zonder enige vorm van authenticatie, waardoor misbruik makkelijk is.
Alles is van op een afstand configureerbaar. Op de Android Versie is er ook sprake van stukjes code die toelaten om een remote zipfile te downloaden en uit te voeren.
Daarbovenop kwam er dat gedurende lange tijd de gegevens niet voldoende versleuteld werden omdat men werkte met http in plaats van https. Wat bij deze massale data-verwerking wel kan worden verwacht en zorgt voor een onveilig datatransfer.
Advies: Verwijder dus deze app, zolang er geen duidelijkheid is, ook al doet het pijn!
Hoe we onze dansende en grappende jeugd gaan overtuigen zonder als een ‘Karen’ te worden afgedaan, dat is een andere vraag …
