Sicherheitsanalyse entlastet TikTok von Zensur- und Datenschutzvorwürfen

Cyber Security News

Der Quellcode von TikTok entspricht den Industriestandards, sagen Sicherheitsforscher.

Nebulöse Datenschutz- und Zensurvorwürfe über die Video-Social-Media-App TikTok wirbeln seit Monaten umher. Sicherheitsanalysten von CitizenLab sind die ersten, die echte Daten über den Quellcode der Plattform gesammelt haben, und berichten, dass TikTok angemessene Standards für Sicherheit und Datenschutz erfüllt.

Die Plattform, so fanden sie heraus, ist eine angepasste Version der aufdringlicheren Versionen der Anwendung, die von TikToks Muttergesellschaft, der in China ansässigen Muttergesellschaft ByteDance, in ganz Ost- und Südostasien verwendet wird, ohne die Einschränkungen beim Zugang oder der Privatsphäre.

CitizenLab erklärte, dass die Kontrollen, die ByteDance für die in den USA verfügbare Version von TikTok eingerichtet hat, ausreichend sind, “noch [contain] starke Abweichungen der Datenschutz-, Sicherheits- und Zensurpraktiken im Vergleich zu TikToks Konkurrenten wie Facebook”, so der Bericht.

Es gibt jedoch anhaltende Bedenken, dass die Quellcode-Funktionen zur Zensur von Sprache in den verschiedenen ByteDance-Apps in der US-Version von TikTok “eingeschaltet” werden könnten.

TikTok ist die erste Social-Media-Plattform, die aus dem kommunistischen Land kommt und auf der ganzen Welt explodiert. Der Aufstieg von TikTok war so kometenhaft, dass es im letzten Jahr die meisten Downloads in einem einzigen Quartal für jede App überhaupt verzeichnete und mehr als 2 Milliarden Benutzer weltweit überschritt.

Letzten Sommer drohte der ehemalige Präsident Trump damit, TikTok aus den USA zu verbannen, wo es mehr als 100 Millionen Benutzer hat, und unterzeichnete sogar eine Durchführungsverordnung, um es aus den App-Stores zu sperren, weil er es “nationale Sicherheitsbedenken” nannte. Der damalige Handelsminister Wilbur Ross fügte damals hinzu, dass TikTok “Chinas böswillige Sammlung von persönlichen Daten amerikanischer Bürger” erlaube. Die Pläne, TikTok zu blockieren, wurden in letzter Minute aufgegeben, aber die Fragen sind noch nicht ausgeräumt.

Es stellt sich heraus, dass diese Anschuldigungen unbegründet waren, nach diesen neuen Erkenntnissen von CitizensLab.

“TikTok und Douyin scheinen kein offenkundig bösartiges Verhalten zu zeigen, das dem von Malware ähnelt”, heißt es in dem Bericht. “Wir haben nicht beobachtet, dass eine der beiden Apps Kontaktlisten sammelt, Fotos, Audio, Videos oder Geolocation-Koordinaten ohne Erlaubnis des Benutzers aufnimmt und versendet.”

ByteDance: TikTok & Douyin

ByteDance betreibt zwei verschiedene Plattformen, TikTok und Douyin. ByteDance startete in China mit Douyin. In China werden Unternehmen dazu verpflichtet, Inhalte zu moderieren, um die Sprachbeschränkungen der Regierung einzuhalten, unter Androhung der Schließung, erklärte der Bericht.

ByteDance startete später, im Juni 2018, TikTok für Märkte außerhalb Chinas. Sowohl Douyin als auch TikTok teilen einen Großteil des gleichen Quellcodes, mit ein paar regionalen Unterschieden.

“Wir vermuten, dass ByteDance TikTok und Douyin ausgehend von einer gemeinsamen Codebasis entwickelt und je nach Marktbedürfnissen unterschiedliche Anpassungen vornimmt”, so der CitizenLab-Bericht. “Wir haben beobachtet, dass einige dieser Anpassungen durch verschiedene vom Server zurückgegebene Konfigurationswerte ein- oder ausgeschaltet werden können. Wir sind besorgt, konnten aber nicht bestätigen, dass diese Fähigkeit zum Einschalten von die Privatsphäre verletzenden versteckten Funktionen verwendet werden kann.”

ByteDance hat Musicl.ly im Nov. 2017 übernommen.

“Es ist wahrscheinlich, dass beide Apps bereits ihre eigene Nutzerbasis angesammelt haben und es nach der Fusion einfacher war, beide Apps einfach auf die neue Version mit dem fusionierten Code zu aktualisieren, anstatt die Nutzer zu bitten, eine weitere App zu installieren”, so der Bericht. Das ließ drei verschiedene Versionen von ByteDance-Code, Douyin, und zwei Versionen von TikTok – bekannt als “Trill” und “Musically”.

“Für die Teile, die wir untersucht haben, sind die Unterschiede zwischen “Musically” und “Trill” geringer als die Unterschiede zwischen “Douyin” und den anderen beiden”, so der Bericht. “Das ist zu erwarten, weil Douyin eine reine China-Plattform bedient, die von der globalen Plattform getrennt ist, die von den regionalen Varianten Trill und Musically bedient wird.”

Die Trill-Version von TikTok wird in Ost- und Südostasien verwendet und bietet strengere Datenschutz- und Zugangskontrollen als die Musically-Version von TikTok, die im Westen verfügbar ist.

“Dieser Versionsunterschied wird auch genutzt, um Schnittstellen anzupassen und Benutzereinstellungen bereitzustellen, die auf die jeweiligen Regionen zugeschnitten sind”, so der Bericht. “Die Nutzer haben nur in Musically die Möglichkeit, die Anzeigenpersonalisierung zu deaktivieren, was wahrscheinlich auf die Anforderungen der europäischen Datenschutzgrundverordnung (GDPR) zurückzuführen ist.”

Andere Unterschiede, die die Forscher gefunden haben, sind die Tatsache, dass Douyin Daten sammelt, die den Standort eines Benutzers identifizieren könnten, während TikTok dies nicht tut, so der Bericht.

Schlummernder Quellcode

Aber anstatt diese Unterschiede in den Code selbst zu schreiben, wurden alle drei Dienste mit fest in die interne Konfiguration kodierten Steuerelementen eingerichtet, so dass schlummernde Code-Strings übrig blieben, die Datenschutz- und Suchparameter für andere Plattformen definieren, die in der Tat später eingeschaltet werden konnten.

“In dem kleinen Teil des Codes, den wir untersucht haben, haben wir keinen Fall gefunden, in dem unerwünschte Funktionen durch vom Server zurückgegebene Konfigurationswerte aktiviert werden konnten”, so die Forscher. “Wir sind jedoch immer noch besorgt, dass dieser ruhende Code, der ursprünglich für Douyin gedacht war, in TikTok versehentlich oder sogar absichtlich aktiviert werden könnte.”

Ein weiterer potenziell problematischer Aspekt von Douyin ist, dass es in der Lage ist, sich selbst über das Internet zu aktualisieren, unter Umgehung des Betriebssystems und der Benutzerkontrolle, fanden die Forscher heraus. TikTok hingegen verfügt nicht über diese Fähigkeit.

“Insgesamt weist TikTok einige ungewöhnliche interne Designs auf, zeigt aber ansonsten kein offenkundig bösartiges Verhalten”, so die Ergebnisse von CitizenLabs. “Die dynamische Code-Ladefunktion von Douyin kann als bösartig angesehen werden, da sie den Systeminstallationsprozess umgeht, aber diese Funktion ist auch in chinesischen Apps üblich und auf dem chinesischen Markt allgemein akzeptiert.”

TikTok Zensurvorwürfe

Obwohl das Team zugibt, dass ihre Tests nur auf die “beliebtesten” Posts auf TikTok beschränkt waren, konnten sie feststellen, dass die “Plattform keine offensichtliche Post-Zensur durchsetzt, und wenn Post-Zensur überhaupt durchgesetzt würde, würde sie subtil nur auf unbeliebte Posts angewendet”, so der Bericht weiter.

Vorgeschlagene Verbote für TikTok und WeChat wurden von einigen in der Sicherheits-Community mit Skepsis aufgenommen, als frühe Anschuldigungen des TikTok-Missbrauchs auftauchten, weil keine Beweise jemals zustande kamen.

“Es ist nicht erwiesen, dass TikTok mehr Daten sammelt als andere Social-Media-Apps”, sagte Paul Bischoff, Datenschutzbeauftragter bei Comparitech, im vergangenen September gegenüber Threatpost. “Es schafft einen gefährlichen Präzedenzfall für die Zensur in den USA. Wir verbieten eine chinesische App, aber nehmen eine chinesische Zensurpolitik an. Letzteres ist viel bedenklicher.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com