Ingeniería inversa de TikTok revela enormes problemas de privacidad

Un proceso reciente de ingeniería inversa de la plataforma social para compartir videos TikTok ha revelado enormes problemas de privacidad para sus usuarios. Los hallazgos resaltan las deficiencias existentes en el diseño de la aplicación así como la necesidad de soluciones descentralizadas de almacenamiento de datos que vuelvan a ser controlados por los usuarios. El uso de los datos de usuario de TikTok va mucho más allá de lo que hacen otras aplicaciones sociales como Facebook o Twitter. De hecho, algunos especulan que la plataforma es en realidad spyware del gobierno chino [Forbes].

¿Qué problemas tiene TikTok?

Para aquellos que no lo saben, TikTok es una aplicación para compartir videos propiedad de ByteDance con sede en Beijing. La plataforma ha explotado en popularidad desde su debut internacional en enero de 2018. Los usuarios de TikTok suben videos cortos de ellos mismos completando “desafíos” como sincronización de labios, contenido o canciones cómicas. Aparentemente, el atractivo es que el video puede “volverse viral” y los usuarios, por un breve momento, probarán el estrellato en Internet. Sin embargo, la aplicación ha estado en el centro de muchas controversias, especialmente por cuestiones de privacidad. Las acusaciones más recientes provienen de un individuo que afirma haber realizado ingeniería inversa de la aplicación, descubriendo en el proceso algunos secretos oscuros. En una larga publicación publicada en Reddit el pasado mes de abril, el usuario Bangorlol revela el sombrío funcionamiento interno de TikTok. Bangorlol escribe:

“TikTok es un servicio de recopilación de datos que se ve poco como una red social. Si hay una API para obtener información sobre usted, sus contactos o su dispositivo, entonces la están usando “.

La publicación continúa para detallar algunos de los datos que la aplicación está recopilando sobre sus usuarios. Esto incluye datos de hardware del teléfono (número, modelo de teléfono, dimensiones de la pantalla, uso de memoria, entre otros). También recopila datos acerca de las otras aplicaciones instaladas en el dispositivo, incluidas las eliminadas previamente; detalles de la red (IP, IP local, nombres de puntos de acceso y también datos de GPS). Y si eso no fuera suficiente, incluso determina si el teléfono está rooteado o con jailbreak.

Una pesadilla de seguridad

El autor de la publicación continúa explicando que la aplicación hace que sea increíblemente difícil bloquear cualquiera de estas filtraciones de datos. Aparentemente, incluso cambia el comportamiento cuando parece que un usuario está tratando de determinar exactamente cómo funciona el software. Todas las solicitudes de análisis están encriptadas y, según los informes, la empresa cambia el algoritmo con cada actualización. La aplicación también deja de funcionar si bloquea la comunicación con el host de análisis en el nivel DNS. Quizás lo más preocupante es que la versión de Android de TikTok incluye un código que puede forzar la descarga, descompresión y ejecución de un archivo zip remoto. El Redditor escribe:

“No hay ninguna razón para que una aplicación móvil necesite esta funcionalidad de manera legítima”.

La persona detrás de la ingeniería inversa admite que el estudio se realizó hace unos meses, y algunos detalles pueden estar desactualizados. Bangorlol tampoco pudo proporcionar pruebas sustanciales debido a los problemas de hardware informáticos mencionados. Sin embargo, han declarado que están trabajando en un sitio/blog dedicado a exponer los problemas de privacidad de TikTok.

La lista de preocupaciones sobre privacidad de TikTok crece

Los recientes esfuerzos de ingeniería inversa son parte de una creciente lista de preocupaciones de privacidad para la plataforma emergente de redes sociales. BeInCrypto informó que el propietario de la aplicación estaba girando hacia la tecnología blockchain a principios de 2020. La medida aparentemente abordaría algunos problemas de seguridad de datos. Sin embargo, a pesar de este cambio de enfoque, las controversias continúan acumulándose. Los investigadores Talal Haj Bakry y Tommy Mysk identificaron varias fallas de seguridad en dispositivos iOS en febrero, los cuales TikTok podría haber estado explotando [Forbes]. La vulnerabilidad permite que las aplicaciones lean el texto que un usuario copia en su iPhone y también desde su Mac. Dado que muchos usuarios copiarán información potencialmente confidencial de una Mac, la vulnerabilidad representa un riesgo de seguridad significativo. Apple inicialmente negó que esto fuera un problema, pero desde entonces se apresuró a parchear un mensaje emergente para notificar al usuario que una aplicación está mirando su portapapeles. La función solo está disponible en iOS 14, que saldrá en otoño de 2020.

Ingeniería nefasta

Sin embargo, los desarrolladores ya tienen acceso a la actualización y han notado que TikTok realmente toma datos del portapapeles de los usuarios a un ritmo alarmante. En un video de demostración publicado en Twitter el 24 de junio, el empresario británico Jeremy Burge muestra que la aplicación realmente toma instantáneas del portapapeles después de que un usuario ingresa un solo carácter en su dispositivo: https://twitter.com/jeremyburge/status/1275832600146391042?s=20 Sorprendentemente, incluso sucede al escribir en aplicaciones que no son TikTok. Agregar más sospechas a la saga es el hecho de que ByteDance inicialmente le dijo a Forbes que el problema del portapapeles estaba relacionado con un SDK de publicidad obsoleto de Google. Afirmaron además que se detendría después de abril. Sin embargo, la revelación continúa impactando a los usuarios de Apple hasta el día de hoy. TikTok también continúa cambiando los postes de la historia. La compañía ahora afirma que el problema es parte de una función antispam y que presentará una versión actualizada de la aplicación sin esta “característica”. Zak Doffman, escritor de Forbes explica:

“En otras palabras: nos han pillado haciendo algo que no deberíamos, hemos sacado una solución”.

La atención de alto perfil de TikTok

Incluso antes del trabajo de Mysk, Bakry y Bangorlol, había serias preocupaciones sobre la privacidad de TikTok. A finales del año pasado y a principios de este, una serie de agencias gubernamentales de Estados Unidos prohibieron a los empleados tener el software en sus dispositivos gubernamentales. En octubre pasado, el senador Marco Rubio solicitó que la administración Trump investigara la solicitud de evidencia de censura china relacionada con información políticamente sensible. Del mismo modo, los senadores Chuck Schumer y Tom Cotton pidieron que la aplicación sea analizada en interés de la seguridad nacional. Más tarde, en noviembre, el Senado de la nación norteamericana invitó a compañías de tecnología de alto perfil a discutir la seguridad de los datos en una audiencia. TikTok se negó a enviar un representante. Desde entonces, numerosas organizaciones estadounidenses han prohibido o desaconsejado el uso de TikTok. Estos incluyen la marina, el ejército, la fuerza aérea, la guardia costera, el cuerpo de marines, el Departamento de Seguridad Nacional y la Administración de Seguridad del Transporte [Business Insider].

¿Puede la descentralización proporcionar una solución?

TikTok no es la única aplicación que tiene un historial cuestionable acerca de la protección de datos de los usuarios. Los críticos han acusado a la compañía de intenciones maliciosas, sin embargo, TikTok claramente no es la única compañía de recolección de datos centralizada.   Con blockchain y la tecnología de contrato inteligente que abren la posibilidad de aplicaciones verdaderamente descentralizadas, tal vez haya esperanza. Las futuras aplicaciones pueden funcionar sin depender de cachés de datos de usuario masivos que pueden ser explotados [Enigma]. Las plataformas de identidad digital, similares a las que Microsoft y otros están trabajando, buscan que los usuarios vuelvan a controlar sus datos personales. La idea es que las personas ya no necesitarán confiar en un soporte de datos centralizado para actuar de manera responsable. Los propios usuarios elegirán qué compartir. También tendrán la capacidad de revocar el acceso a la información de manera instantánea. Los sistemas, como el ION de Microsoft, que se basa en la cadena de bloques de Bitcoin, aún están en desarrollo. Sin embargo, si tienen éxito y se adoptan ampliamente, podrían ver que los proveedores de servicios en línea cambian drásticamente la forma en que hacen negocios. Este nuevo modelo debería proteger mejor los intereses de los usuarios.