Proč je TikTok nebezpečný a jak jsou na tom ostatní aplikace?

Datum vydání

22. 3. 2023

Zajímá vás popisované téma?

kontaktujte nás
Proč je TikTok nebezpečný a jak jsou na tom ostatní aplikace?

Národní úřad pro kybernetickou a informační bezpečnost vydal 8. března 2023 varování „před hrozbou v oblasti kybernetické bezpečnosti spočívající v instalaci a používání aplikace TikTok na zařízeních přistupujících k:  

  • Informačním a komunikačním systémům kritické informační infrastruktury,  
  • Informačním systémům základní služby
  • Významným informačním systémům.

Dle úřadu je hrozba na úrovni „Vysoká – Hrozba je pravděpodobná až velmi pravděpodobná.“ 

Důvodem pro toto varování je, že: „TikTok, vyvinutý a provozovaný čínskou společností ByteDance sbírá excesivní množství uživatelských dat“. 

 NÚKIB dále s odvoláním na výroční zprávu Bezpečnostní informační služby (BIS) za rok 2021 uvádí, že „ČLR představuje rostoucí komplexní zpravodajskou hrozbu.“ 

ByteDance je subjektem spadajícím do působnosti čínské národní legislativy. Zákony ČLR o státní bezpečnosti a státní zpravodajské činnosti například ukládají všem čínským občanům a organizacím obecnou povinnost poskytnout pomoc státním orgánům v otázkách státní bezpečnosti, povinnost podpořit národní zpravodajskou činnost, povinnost poskytnout součinnost a informace o zahraničních klientech čínských společností v případě, že je budou státní orgány podezřívat ze špionážní činnosti.  

 „Data získaná společností ByteDance tak můžou sloužit k zacílení kybernetických útoků na konkrétní osoby a tím zvýšit riziko jejich úspěchu (např. prostřednictvím spear phishingu). Současně lze tato data zneužít k vydírání zájmových osob a narušit tak bezpečnostní nebo strategické zájmy České republiky.“ 

Více v dokumentu https://www.nukib.cz/download/uredni_deska/2023-03-08_Varovani-TikTok_final.pdf 

Proč je TikTok hrozba? A co ostatní aplikace? 

Provedli jsme rychlou statickou analýzu aplikace pomocí open source nástroje MobSF. Co jsme zjistili? 

🔴 TIKTOK na Apple zařízení
iOS aplikace verze: 28.4.0, Identifikátor: com.zhiliaoapp.musically
❌ Security score: 38/100
Risk rating: C (High Risk)

 

Hlavní problémy: 

  • Aplikace požaduje přístup k fotoaparátu, knihovně fotografií, hudbě, mikrofonu, kaledáři, kontaktům, zjištění lokace i při běhu na pozadí 
  • App Transport Security restrikce jsou vypnuté pro všechna spojení – díky tomu může vestavěný prohlížeč zachytávat veškerá data zadaná uživatelem v aplikaci. Tedy i v okamžiku, kdy bude v aplikaci TikTok načtena webová stránka třetí strany – např. e-shopu.  
  • Aplikace může být náchylná na zneužití pomocí známých zranitelností: CWE-676: Use of Potentially Dangerous Function, CWE: CWE-789: Uncontrolled Memory Allocation 

🔴 TIKTOK na Androidu
Android aplikace verze: 28.3.3, Identifikátor: com.zhiliaoapp.musically
❌ Security score: 40/100
Risk rating: B (Medium Risk)!

  I na Android platformě jsou problémy podobné: 

  • Aplikace požaduje 75 oprávnění 
  • Snaží se obcházet SSL pinning 
  • Používá slabé šifrovací algoritmy, posílá data v otevřené podobě (clear text) 
  • Zachytává veškerá uživatelem zadaná data v rámci aplikace 

 A co ostatní platformy? 

Je třeba si uvědomit, že podobně se chovají i další sociální aplikace jako např. Instagram, Facebook, Twitter atd.  

Pro zajímavost jsme se tedy koukli na aplikaci Instagram pro iOS. Jak dopadla? Ještě hůře než TikTok… Společnost Meta stojící za aplikací Instagram sice není podřízena čínským zákonům, ale i tak je chování aplikace alarmující. 

🔴 INSTAGRAM pro Apple zařízení
Identifikátor: com.zhiliaoapp.musically
❌ Security score: 26/100
Rist rating: F (Critical risk)❗️❗️

Varování je jedna věc, ale jak technicky realizovat patřičná opatření? 

Mobile Device Management (MDM), anebo Unified Endpoint Management (UEM) je řešení, které:

U čistě pracovních zařízení (COBO) dokáže: 

  • Buď zcela řídit instalaci aplikací a omezit jejich seznam na explicitně povolené, 
  • anebo detekovat nežádoucí aplikace a automatizovat nápravnou akci – např. přístup zařízení na data organizace dočasně zablokovat. 

Instalaci či použití TikToku lze zcela zabránit. 

U zařízení typu BYOD, anebo firemních se soukromým profilem (COPE) dokáže: 

  • Zabezpečit data organizace kontejnerizační technologií a oddělit je od dat soukromých. 
  • Omezit přístup ke kalendáři a kontaktům v pracovním profilu. 
  • Řídit sdílení dat pomocí schránky mezi soukromým a firemním profilem. 

Umí tedy limitovat okruh dat, ke kterým může TikTok přístupovat. 

Nové verze mobilních operačních systémů kladou velký důraz na ochranu soukromí uživatelů. Není tak již třeba možné na aplikační úrovni zjistit tzv. neresetovatelné identifikátory zařízení (MAC, IMEI…) a tyto použít ke sledování zařízení.  

Pomocí správy mobilních zařízení můžeme vynutit aktualizaci operačního systému (OS) a také definovat minimální povolenou verzi OS pro přístup na data organizace. 

Dalším stupněm zabezpečení mobilních zařízení je pak integrace MDM/UEM řešení s moderními Mobile Threat Defense (MTD) nástroji. 

Pomocí MTD dokážeme zařízení chránit před dalšími vektory útoku typu eskalace oprávnění, ovládnutí zařízení, síťovými útoky a phishingem. 

Další články

Digitálními technologiemi žijeme. A proto o nich i píšeme.

Nejnovější články
Další články
1/10

Nebo se nám ozvěte napřímo

Alena Valečková

Alena Valečková

office koordinátorka

Kontaktujte nás

Vyplňte náš formulář, ozveme se vám do několika dnů s návrhem nezávazné konzultace.