Un home que té TikTok d’enginyeria inversa revela les coses aterridores que va aprendre i aconsella a la gent que s’allunyi

Facebook es va ficar en un escàndol de dades sensibles quan va fer negocis amb ombra amb Cambridge Analytica, Instagram va confirmar un problema de seguretat al descobrir els comptes i números de telèfon de l'usuari , però aquestes aplicacions són bàsicament paradisos de seguretat en línia en comparació amb TikTok, segons un enginyer de programari sènior amb uns 15 anys d’experiència professional.

Fa 2 mesos, l'usuari de Reddit bangorlol va fer un comentari en una discussió sobre TikTok. Bangorlol va afirmar haver-lo dissenyat amb èxit enginyeria inversa i va compartir el que va aprendre sobre el servei de xarxes socials de vídeo compartit xinès. Bàsicament, va recomanar fermament que la gent no tornés a utilitzar l'aplicació, advertint sobre el seu intrusiu seguiment d'usuaris i altres problemes. Tenint en compte això TikTok va ser la quarta descàrrega d'aplicacions gratuïtes per a iPhone més populars el 2019 , això és bastant alarmant.

Crèdits de la imatge: marc Verch

Bangorlol no és un nen de guió. 'Els darrers anys de la meva carrera professional s'han basat en la inversió d'aplicacions mòbils, l'anàlisi de com funcionen i la creació de funcionalitats addicionals de tercers al seu voltant', va dir. Panda avorrit . 'Un exemple aproximat seria que jo notés que Twitter no us mostra una cronologia seqüencial (ni idea si ho fan o no) al lloc web, però sí a l'aplicació. Entraria a la versió d’Android o iOS, cercaria les sol·licituds que obtinguessin les dades correctes i crearia una eina de tercers (aplicació, lloc web, extensió del navegador) per oferir als usuaris aquesta funcionalitat '.

'Darrerament, consisteix principalment a invertir les API de socis de la meva empresa, de manera que no hem d'esperar a que creen alguna cosa personalitzada per a nosaltres. Caco recompenses d’errors quan tinc temps o ajudo els meus amics amb els seus (o els seus desafiaments de CTF). M’agrada la seguretat en general i normalment trobo almenys alguns defectes importants cada vegada que canvio d’empresari. Sóc una espècie de tipus de 'tots els oficis' en el sentit que em sento còmode en la majoria de les àrees de l'enginyeria de programari i, sobretot, està bé amb molts temes de seguretat '.

Segons els informes, l'equip de desenvolupament xinès va trigar 200 dies a crear la versió original de TikTok, però quan Bangorlol va obtenir el cursor al codi, no va tenir cap oportunitat. Tot i que va intentar lluitar. “TikTok va esforçar-se en evitar que persones com jo esbrinessin com funciona la seva aplicació. Hi ha un munt d’ofuscació involucrada a tots els nivells de l’aplicació, des de la vostra variable estàndard d’Android que canvia el nom de grossness fins a fortes (bytedance) forking i personalització de ollvm per a les seves coses natives. Oculten funcions, impedeixen que els depuradors s’uneixin i utilitzen bastants trucs per fer les coses difícils. Sincerament, és més complicat i molest que la majoria de jocs que he apuntat ', va explicar Bangorlol.

Aquest secret és comprensible. Els guanys de TikTok han augmentat proporcionalment amb el seu augment de popularitat i el seu propietari ByteDance va obtenir un benefici net de 3.000 milions de dòlars l’any passat, segons un informe de Bloomberg .

Bangorlol creu que nosaltres, com a societat, hem normalitzat el lliurament de la nostra informació personal i ja no tenim expectatives de privadesa i seguretat, de manera que donar a TikTok les nostres dades juntament amb els nostres diners no és res sorprenent. 'El consens general entre la majoria de les persones' normals 'és que no poden / no seran objectius, així que està bé. O que no tenen res a amagar, així que 'per què m'hauria de preocupar?' Crec que l'apatia prové de la gent que no entén les implicacions de seguretat (a tots els nivells) de lliurar les nostres dades a un govern estranger que no discrimina contra qui es dirigeixen i tampoc no té la millor trajectòria pel que fa als drets humans ', va dir.

Tingueu en compte que Bangorlol va publicar el seu comentari inicial fa un temps i que no va tocar l’aplicació des de fa mesos i, quan va publicar les seves conclusions, també van quedar uns quants mesos enrere. 'L'aplicació podria haver canviat les tècniques d'empremta digital o afegir / eliminar algunes de les coses desagradables que fan. Animo encaridament els investigadors de seguretat que són molt més intel·ligents que jo i que tenen més temps lliure per fer una ullada a l’aplicació i analitzar tots els detalls que puguin. Hi ha moltes coses que passen a les biblioteques natives, com a mínim, per a la versió d’Android que no vaig poder esbrinar i que no vaig tenir temps d’investigar més ”, va afegir.

'És possible que TikTok no compleixi els criteris exactes per anomenar-se' programari maliciós ', però és definitivament nefast i (en la meva modesta opinió) absolutament maligne', va dir Bangorlol. 'Hi ha una raó per la qual els governs ho prohibeixen. No utilitzeu l'aplicació. No deixeu que els vostres fills l’utilitzin. Digueu als vostres amics que deixin d'utilitzar-lo. No us ofereix res més que una ràpida font d’entreteniment que podeu obtenir en qualsevol altre lloc sense lliurar les vostres dades al govern xinès. Esteu posant-vos en risc directament a vosaltres i a aquells de la vostra xarxa (feina i casa) '.

Això és el que va dir la gent després d’haver passat els problemes de TikTok

pel·lícula d'anime on els pares recorren als porcs