Анализ конфиденциальности данных в мобильном приложении и на сайте TikTok

TL;DR Я тщательно изучил защиту конфиденциальности данных в приложении TikTok и на их сайте. Выявлены многочисленные нарушения законодательства, уязвимости и обман доверия пользователей.

В этой статье технические и юридические детали. В более простом изложении без технических деталей см. статью в Süddeutsche Zeitung ^[1] (на немецком).

Для перенаправления и анализа трафика использовался mitmproxy. На видео показано, как информация об устройстве, времени использования и список просмотренных видео отправляются в Appsflyer и Facebook.

Трудно поверить, что это соответствует «законным интересом», когда на Facebook отправляются и введённые поисковые запросы:

Отправка информации двум компаниям явно противоречат GDPR. В частности, Facebook не соответствует требованиям статьи 14 и не может обеспечить право на удаление соответствующей информации.

Передача данных в Appsflyer происходит непрозрачно. Пользователи не знают, кто из более чем 4500 партнёров этой фирмы может получить их данные. Компания ByteDance (разработчик TikTok) отвечает, что не обязана показывать свои коммерческие договоры. Они вообще читали статью 26 GDPR?

Самое главное, что нарушаются основные права, поскольку личная идентификационная информация (PII) передаётся на сервер, находящийся под контролем компании в небезопасной стране за пределами Европы. Согласно разъяснению юриста Мальте Энгелера ^[2], расположение сервера не имеет значения — важно местоположение компании, принимающей решение о данных. Штаб-квартира ByteDance находится в Пекине, Китай.

Я проверил также сам сайт, поскольку на нём просматривается всё видео, которым пользователи делятся через мессенджер или социальные сети. Любой сокращённый URL для видео (например, vm.tiktok.com/9uTpDV) резолвится в URL-адрес с ID конкретной инсталляции программы. Таким образом, TikTok может посмотреть, кто поделился каким видео.

^[3]

^[4]

Они также отслеживают, кто смотрит видео. Кроме обычных трекеров (Google Analytics), используется противоречивая техника фингерпринтинга устройства для назначения уникального хэш-значения переменной cookie с именем s_v_webid. Уникальный отпечаток вычисляется путём объединения множества аппаратных и браузерных характеристик устройства.

Для идентификации используется в том числе фингерпринтинг через canvas. В фоновом режиме векторными командами рендерится изображение. Затем оно переводится в формат PNG и сохраняется. Созданные таким образом данные уникальны для различных устройств и зависят от различных настроек и особенностей используемого оборудования.

Кроме того, для идентификации посетителей скрытно снимается звуковой отпечаток устройства ^[5]. Звук не звучит в динамиках, а генерируется в цифровом аудиотракте, а битовый поток записывается. Полученный результат тоже отличается на разных устройствах. Вот как он звучит:

ByteDance заявляет, что эти методы снятия отпечатков помогают выявить вредоносное поведение браузера. Довольно трудно в это поверить, поскольку сайт работает без изменений даже после блокировки скрипта. Кроме того, одновременно используются собственные методы снятия отпечатков на стороне сервера Akamai (это уже другая история).

Есть ещё несколько проблем, таких как использование Google Analytics без анонимизации IP-данных. И в довершение всего, компания использует свободное ПО без надлежащей атрибуции: Zepto.js от Томаса Фукса, Murmur Hash от Остина Эпплби и FingerprintJS от Валентина Васильева, и это лишь некоторые программы. Как низко вы можете опуститься?

Все эти проблемы TikTok связаны только c приватностью. Буквально неделю назад компания Netzpolitik опубликовала детальную информацию о другого рода проблемах с цензурой. Об этом можно прочитать в серии из трёх статей, начиная с этой ^[6].

Так что любому средству массовой информации есть смысл хорошо задуматься, прежде чем публиковать информацию в TikTok, тем самым развивая экосистему этого мессенджера. Например, так делает немецкий журнал Tagesschau, который к тому же получает деньги налогоплательщиков через национальный сбор в поддержку СМИ.

Администраторы каналов TikTok также могут попасть под условия совместного владения с TikTok, как определил EC для фанатских страниц Facebook. Как следствие, канал на TikTok может быть заблокирован, если мессенджер нарушает права пользователей на защиту конфиденциальных данных. Хейко Нойхофф, генеральный директор общественной телерадиокомпании NDR, сказал мне, что сейчас они решают вопрос, применимо ли это к каналу Tagesschau на TikTok.

Мой комментарий

TikTok нарушает несколько законов, используя данные своих в основном несовершеннолетних пользователей. Регуляторы должны немедленно расследовать это и вынести быстрое и строгое решение. Необходимое законодательство для этого есть. Не позволяйте им уйти от ответа, как это десять лет удавалось Facebook. Журналистам лучше найти более подходящее место для публикации своих вертикальных видео.

Автор: m1rko

Источник ^[7]