En Reddit, el usuario ToBrown05 ha publicado un post afirmando haber aplicado ingeniería inversa a TikTok una de las redes sociales con mayor crecimiento en los últimos meses. Con varias actualizaciones en el hilo descubrió que esta red de microvideos extrae información por medio de una API (Application Programming Interface), los datos que recopila son:
- Hardware del teléfono (tipo de CPU, número de curso, ID de hardware, dimensiones de la pantalla, dpi, uso de memoria, espacio en disco, etc.).
- Otras aplicaciones que ha instalado (incluso eliminadas).
- Todo lo relacionado con la red (IP, IP local, dirección MAC, nombre de la red).
- Algunas variantes de la aplicación tenían habilitado el ping de GPS en ese momento, aproximadamente una vez cada 30 segundos; esto está habilitado de manera predeterminada si alguna vez etiqueta la ubicación en una publicación IIRC
- Configuraron un servidor proxy local en su dispositivo para “transcodificar medios”, pero se puede abusar de él muy fácilmente ya que no tiene autenticación.
“La parte más aterradora de todo esto es que gran parte del registro que están haciendo es configurable de forma remota, y a menos que invierta cada una de sus bibliotecas nativas e inspeccione manualmente cada función ofuscada. Tienen varias protecciones diferentes para evitar que usted también revierta o depure la aplicación”.
https://www.reddit.com/r/videos/comments/fxgi06/not_new_news_but_tbh_if_you_have_tiktiok_just_get/
También hay algunos fragmentos de código en la versión de Android que permiten descargar un archivo zip remoto, descomprimirlo y ejecutar dicho binario. No hay ninguna razón por la que una aplicación móvil necesite esta funcionalidad de forma legítima.
Por medio de la ingeniería inversa a TikTok, ToBrown05 explica en su publicación que además de todo lo anterior, no usaron HTTPS (HyperText Transfer Protocol Secure, Protocolo de transferencia de hipertexto) durante mucho tiempo. Filtraron las direcciones de correo electrónico de los usuarios en su API REST HTTP, así como sus correos electrónicos secundarios utilizados para restablecer las contraseñas, nombres reales y cumpleaños. Todo fue visible y público.
Soy un nerd que descubre cómo funcionan las aplicaciones para un trabajo. Llamarlo plataforma publicitaria es quedarse corto. TikTok es esencialmente malware dirigido a niños. No uses TikTok. No permita que sus amigos y familiares lo usen”.
TikTok un posible problema de seguridad nacional para EUA
Después de que esta información inundara los sitios de noticias, el gobierno de Estados Unidos tomaron cartas en el asunto y escaló al grado de que el presidente Donald Trump firmó una orden ejecutiva para prohibir la aplicación en su país, a esta orden se sumaron la prohibición por parte de la marina por considerarla un riesgo.
De nada sirvieron las propuestas de Microsoft, Oracle y Twitter para adquirir la aplicación de origen chino, ni los argumentos de que la empresa está manejada por un equipo de norteamericanos y sus oficinas se realizan en dicho país.
TikTok no fue la única aplicación bajo sospecha de países como EUA y la India, otra veintena de aplicaciones han sido prohibidas por las mismas sospechas de espionaje y mal uso de información privada de los usuarios, que se sospecha es proporcionada al partido comunista chino.
Anonymous llama a no utilizar TikTok
El llamado inesperado de la organización Anonymous a no utilizar TikTok encendió más el debate sobre el uso de la información de los usuarios por parte de la empresa responsable de su desarrollo poniendo en la mesa posibles escenarios en los que la extracción de información y el cruce con otras funcionalidades de los dispositivos, como sistemas de reconocimiento facial, huellas dactilares, repositorios de contraseñas, uso de correo electrónico y otras, pondrían en grave riesgo a objetivos de alto nivel.