Пользователь Reddit с ником Bangorlol утверждает, что ему удалось провести реверс-инжиниринг (исследование кода программы с целью рассмотрения принципа её работы) приложения TikTok.

Выяснилось, что приложение собирает следующие нетипичные для социальной сети данные:

• Данные об аппаратных параметрах (тип процессора, идентификаторы, размеры экрана, дисковое пространство и т.д.)
• Данные о других установленных приложениях, в том числе удалённых после установки TikTok
• Данные о сети (IP-адрес, локальный IP, Mac-адрес, имя точки доступа Wi-Fi)
• Наличие прав суперпользователя
• В некоторых случаях — получение геолокации через GPS раз в 30 секунд

Bangorlol назвал TikTok «сервисом для сбора данных, замаскированный под соцсеть». Он также выяснил, что долгое время приложение не использовало защищённый протокол HTTPS для передачи данных: адреса электронной почты пользователей, имена и даты рождения были свободно доступны для просмотра.

Самое страшное — это то, что команды на сбор большей части перечисленных данных могут настраиваться удалённо.

Приложение для Android содержит фрагменты кода, предназначенные для загрузки ZIP-файла из сети, извлечения содержимого и запуска указанного двоичного файла — это может использоваться для выполнения удалённых команд, заявил Bangorlol.

Разработчики сделали так, чтобы максимально затруднить понимание внутренних принципов работы приложений TikTok. Предусмотрено несколько средств защиты от отладки программы, а также шифрование аналитических запросов при помощи алгоритма, который меняется с каждым обновлением.

Bangorlol также упомянул, что исследовал приложения Instagram, Facebook, Reddit и Twitter — ни одно из них не собирает столько данных, сколько TIkTok.

Это не первое исследование приложения TikTok, в котором заявляется об опасности сервиса. Компания Penetrum ранее выяснила, что приложение собирает массу данных об устройстве и пользователе, активно использует сервера Alibaba, политика безопасности которой допускает передачу личной информации третьим лицам, а также применяет потенциально небезопасные программные решения.

Также благодаря функции уведомления о запрашивании содержимого буфера обмена в iOS 14 выяснилось, что TikTok в постоянном режиме изучает, что скопировал пользователь.

TikTok имеет 800 млн активных пользователей в месяц и продолжительное время держится в списке 25 самых популярных приложений многих стран.