1 mar. 2020

TikTok: espionaje de usuarios "de forma parasitaria"

En los últimos años, la app más descargada de Android ha sido tradicionalmente WhatsApp. Sin embargo, TikTok ha disparado su popularidad y ya ha superado a WhatsApp en descargas recientes, ya que en descargas totales lo tiene muy difícil. WhatsApp lleva más de 5.000 millones de descargas totales, y TikTok tiene que conformarse con "sólo" 500 millones. La clave para aparecer tan arriba es que ese número de descargas se ha producido en un corto espacio de tiempo, donde en enero alcanzó 104,7 millones de descargas, mientras que WhatsApp tuvo 90,6 millones, ya que está presente en casi todos los móviles ya.

TikTok ha tenido una serie de problemas de seguridad desde su lanzamiento. Por un lado, se reveló que la aplicación tenía algunas vulnerabilidades importantes que permitían a los atacantes informáticos robar y manipular los datos del usuario. Desde entonces, TikTok ha dicho que arreglaron estas vulnerabilidades. Luego, la compañía fue demandada en diciembre de 2019 por un grupo de padres que alegó que TikTok estaba recolectando y exponiendo a sabiendas los datos de menores de edad, lo que va en contra de la ley de privacidad de los niños. La compañía ya había sido multada por el gobierno de los EE.UU. por una suma de U$S5,7 millones en febrero de 2019 por violar esa ley.

La popularidad de la app se ha disparado sobre todo entre gente joven por su filosofía desenfrenada de subir contenido relacionado con humor, bailes, o situaciones que nadie entiende. Sin embargo, el CEO de Reddit, Steve Huffman, afirma que la aplicación es "fundamentalmente parasitaria".

Aunque afirmó que probablemente va a arrepentirse de decirlo, afirma que la aplicación siempre está escuchando, y que "las técnicas de fingerprinting que usan son terroríficas", y que bajo ningún concepto instalaría nunca la app en su móvil. De hecho, afirma que le va diciendo a sus conocidos que no instalen ese spyware en sus móviles.

El fingerprinting es una técnica usada normalmente por páginas webs o apps para rastrear la actividad de un usuario, de manera que por ejemplo pueda saberse dónde hacen click, cuánto tiempo están navegando, etc. Normalmente estas técnicas se usan para mejorar la app, y también para dirigir publicidad más personalizada, entre otras.

TikTok usa varias técnicas de fingerprinting

TikTok se ha defendido y afirma que las acusaciones no tienen ningún fundamento, y que usan el fingerprinting para identificar comportamiento malicioso o inapropiado dentro de la app. El problema es que sí hay fundamento, ya que Huffman se basa en una investigación publicada El pasado mes de diciembre por un investigador llamado Matthias Eberl. En su análisis sobre TikTok donde detectó muchas irregularidades.

Se han identificacdo dos tipos de fingerprinting: canvas fingerprinting and audio fingerprinting. El audio suena sencillo (todos sabemos acerca de las aplicaciones que acceden a nuestros micrófonos cuando no queremos que lo hagan), pero eso no es realmente lo que esto significa. Significa que un sonido se genera internamente y su flujo de bits, o flujo de datos en forma binaria, se está grabando.

Con los canvas, se dibuja una imagen en el fondo que finalmente se guarda como PNG. Esa imagen puede decir mucho sobre lo que está usando para ver videos, lo que está viendo y, virtualmente todo lo que está haciendo en la aplicación. El canvas es básicamente un sucesor menos detectable de las cookies.

Entre ellas, encontramos que las búsquedas hechas en el buscador se envían a Facebook (incumpliendo el RGPD), técnicas de rastreo para saber quién comparte cada vídeo introduciendo un ID de instalación en cada enlace, o la más escalofriante: que hacen que la app genere un sonido a nivel interno y lo graba, de manera que pueden identificar visitantes y dispositivos (aviso, es un pitido muy agudo y desagradable). También incumplen otras normas, como que usan Google Analytics sin anonimizar los datos de la IP.

Fuente: TechCrunch

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!